惡意人士的觸手伸向各個領域,就連擁有網路用戶基本信任的 Google 也難逃魔爪。近日,駭客再次濫用 Google Ads 傳播惡意軟體,利用虛假的 Homebrew 網站感染 Mac 和 Linux 系統,竊取用戶憑證、瀏覽器數據和加密貨幣錢包等。
Google Ads 現假廣告,惡意軟體目標直指 Mac 用戶
根據國外媒體 Bleeping Computer 報導,X 用戶 Ryan Chinkie 發表了一則推文,其中講述了自己發現了惡意 Google Ads 活動,並且警是大家該廣告活動存在惡意軟體感染的風險。
⚠️ Developers, please be careful when installing Homebrew.
Google is serving sponsored links to a Homebrew site clone that has a cURL command to malware. The URL for this site is one letter different than the official site. pic.twitter.com/TTpWRfqGWo
— Ryan Chenkie (@ryanchenkie) January 18, 2025
這個惡意廣告偽裝成 Homebrew 網站,其中所散布的惡意軟體為 AmosStealer(又名 Atomic),是一種專為 macOS 系統設計的資訊竊取程式,在地下市場以每月 1,000 美元的訂閱價格出售給網路犯罪份子。該惡意軟體最近在其他宣傳虛假 Google Meet 頁面的惡意廣告活動中出現,Apple 用戶是網路犯罪份子的首選目標。
惡意 Google Ads 顯示了正確的 Homebrew URL「brew.sh」,甚至誘騙熟悉的用戶點擊它。然而,該廣告將用戶重新定向到託管在「brewe.sh」的虛假 Homebrew 網站。這種技術很常被惡意廣告商利用來偽裝成看起來合法的專案或組織。
抵達假網站後,系統會提示訪問者透過黏貼 macOS 終端或 Linux shell 指令中顯示的內容來安裝 Homebrew。合法的 Homebrew 網站提供了類似的指令來執行以安裝合法軟體,但是,當運行虛假網站顯示的指令時,它會在設備上下載並執行惡意軟體。
目前該惡意廣告已經被刪除,但惡意活動可能會透過其他重新定向網域繼續進行,因此用戶必須警惕關於 Homebrew 的專案搜尋廣告。另外,除了 Google Ads 本身,搜尋結果部分也要特別留意。
