Cybersicherheitsexperten haben eine ausgeklügelte Malware-Kampagne aufgedeckt, die den populären Paketmanager Homebrew imitiert und über Google Ads verbreitet wird. Die als AmosStealer bekannte Schadsoftware zielt speziell auf macOS- und Linux-Benutzer ab und stellt eine ernsthafte Bedrohung für deren digitale Vermögenswerte dar.
Sophistizierte Täuschungstaktik über Google Ads
Der Sicherheitsforscher Ryan Chenki identifizierte eine raffinierte Phishing-Kampagne, bei der Cyberkriminelle Google-Werbeanzeigen missbrauchen. Die Angreifer verwenden dabei eine besonders trickreiche Methode: In der Anzeige wird die legitime URL brew.sh angezeigt, während der tatsächliche Link zur betrügerischen Domain brewe[.]sh führt. Diese subtile Manipulation macht es selbst für erfahrene Nutzer schwierig, den Betrug zu erkennen.
AmosStealer: Eine moderne Bedrohung im MaaS-Modell
AmosStealer, auch unter dem Namen Atomic bekannt, wird im Malware-as-a-Service (MaaS) Modell für monatlich 1.000 Dollar angeboten. Die Malware ist speziell für macOS-Systeme entwickelt und verfügt über fortschrittliche Funktionen zur Extraktion sensibler Daten. Besonders besorgniserregend ist die Fähigkeit des Infostealers, Zugangsdaten aus mehr als 50 verschiedenen Kryptowährung-Erweiterungen und -Wallets zu entwenden, darunter bekannte Dienste wie Binance, Coinomi, Electrum und Exodus.
Infektionsprozess und Verbreitungsmethoden
Die Angreifer haben einen täuschend echten Installationsprozess entwickelt. Auf der Phishing-Website wird Besuchern ein Terminal-Befehl präsentiert, der dem originalen Homebrew-Installationskommando zum Verwechseln ähnlich sieht. Die Ausführung dieses Befehls führt jedoch zur Installation des AmosStealer. Die Platzierung der manipulierten Anzeigen in Google-Suchergebnissen verleiht der Kampagne zusätzliche Glaubwürdigkeit.
Reaktion der Sicherheitsgemeinschaft
Der Homebrew-Projektleiter Mike McQuaid bestätigte die Kenntnis über diese Bedrohung, betonte jedoch die begrenzten Möglichkeiten zur direkten Intervention. Kritik richtet sich insbesondere an Google’s Überprüfungsprozess für Werbeanzeigen, der als unzureichend angesehen wird, um solche ausgefeilten Betrugsversuche zu verhindern.
Angesichts dieser wachsenden Bedrohung empfehlen Sicherheitsexperten verstärkte Vorsichtsmaßnahmen bei der Software-Installation. Nutzer sollten URLs sorgfältig überprüfen, ausschließlich offizielle Downloadquellen verwenden und Werbeanzeigen mit erhöhter Skepsis begegnen. Die Verwendung von Werbeblockern und Security-Tools kann zusätzlichen Schutz bieten. Regelmäßige Sicherheitsupdates und die Implementierung einer Multi-Faktor-Authentifizierung für Krypto-Wallets sind weitere essenzielle Schutzmaßnahmen gegen diese Art von Angriffen.
