Homebrew to menedżer pakietów typu open source, który umożliwia instalację i zarządzanie oprogramowaniem na systemach macOS i Linux za pomocą prostych poleceń w terminalu. Popularność tego narzędzia sprawia, że jest ono atrakcyjnym celem dla cyberprzestępców, którzy stworzyli fałszywą witrynę „brewe.sh”, imitującą oficjalną stronę Homebrew, „brew.sh”.
Mechanizm ataku jest prosty, ale skuteczny. Złośliwa reklama Google wyświetla adres oficjalnej strony, aby wzbudzić zaufanie użytkowników, ale w rzeczywistości prowadzi ich na fałszywą witrynę. Po wejściu na tę stronę użytkownik jest proszony o wklejenie polecenia w terminalu, co wydaje się standardową procedurą dla Homebrew. W rzeczywistości uruchomienie tego polecenia instaluje złośliwe oprogramowanie na urządzeniu.
Zagrożenie dla użytkowników macOS
Według ekspertów do infekcji wykorzystano narzędzie AmosStealer, znane również jako „Atomic”. To zaawansowany złodziej informacji przeznaczony dla systemu macOS, który sprzedawany jest cyberprzestępcom w modelu subskrypcyjnym za około 1000 dolarów miesięcznie. Oprogramowanie to jest w stanie przechwytywać dane z ponad 50 rozszerzeń kryptowalut, a także wykradać hasła i dane przechowywane w przeglądarkach. Wcześniej AmosStealer był wykorzystywany w innych kampaniach, które podszywały się pod popularne narzędzia, takie jak Google Meet.
Lider projektu Homebrew, Mike McQuaid, potwierdził, że zespół jest świadomy problemu, ale przyznał, że nie ma realnych możliwości przeciwdziałania takim atakom. W jego opinii odpowiedzialność za ten problem spoczywa na Google, które powinno lepiej kontrolować treści sponsorowane. Pomimo usunięcia reklam powiązanych z fałszywą stroną, McQuaid podkreśla, że problem może powrócić, ponieważ podobne kampanie są prowadzone regularnie.
Wspólna odpowiedzialność za bezpieczeństwo w sieci
Problem fałszywych reklam nie jest nowością i dotyka nie tylko użytkowników Homebrew. Zdarza się, że cyberprzestępcy wykorzystują również reklamy, aby atakować konta reklamodawców w Google Ads i przeprowadzać złośliwe kampanie podszywające się pod legalne marki. Ta metoda działania pozwala im na osiąganie szerokiego zasięgu i skuteczne infekowanie urządzeń.
Warto zachować szczególną ostrożności podczas korzystania z wyników wyszukiwania. Przed kliknięciem reklamy należy dokładnie sprawdzić adres URL, a w przypadku wątpliwości korzystać z zakładek prowadzących do oficjalnych stron internetowych. Jest to szczególnie ważne w przypadku oprogramowania, które wymaga wprowadzania poleceń w terminalu. Regularna weryfikacja źródeł i unikanie sponsorowanych linków może znacząco zmniejszyć ryzyko infekcji złośliwym oprogramowaniem.
Choć problem dotyczy wielu użytkowników na całym świecie, odpowiedzialność za jego rozwiązanie spoczywa głównie na platformach takich jak Google, które zarządzają treściami reklamowymi. Do czasu wprowadzenia skutecznych środków przeciwdziałania cyberprzestępcom, użytkownicy powinni samodzielnie dbać o swoje bezpieczeństwo, korzystając z narzędzi i stron internetowych z rozwagą.
