Експерти з кібербезпеки виявили масштабну шкідливу кампанію, спрямовану на користувачів macOS та Linux. Зловмисники використовують рекламу в Google для поширення небезпечного інфостилера AmosStealer, маскуючи його під легітимний пакетний менеджер Homebrew. Особлива небезпека полягає у використанні витончених методів соціальної інженерії та високому рівні технічної реалізації атаки.
Механізм проведення кібератаки
Дослідник Райан Ченки першим виявив нову схему шахрайства, де зловмисники використовують таргетовану рекламу в Google для перенаправлення користувачів на фішинговий ресурс. У рекламних оголошеннях відображається легітимний URL brew.sh, проте при переході користувач потрапляє на шахрайський сайт brewe[.]sh. Така техніка дозволяє обходити базову пильність навіть досвідчених користувачів.
Технічний аналіз AmosStealer
AmosStealer (відомий також як Atomic) є сучасним шкідливим програмним забезпеченням класу інфостилер, розробленим спеціально для операційної системи macOS. Малвар розповсюджується за моделлю MaaS (Malware-as-a-Service) з щомісячною передплатою у розмірі 1000 доларів США. Основний функціонал включає викрадення конфіденційних даних з понад 50 криптовалютних гаманців та розширень, включаючи такі популярні сервіси як Binance, Coinomi, Electrum та Exodus.
Особливості процесу інфікування
На фішинговому сайті жертві пропонується виконати командний рядок, який візуально ідентичний легітимній інструкції з встановлення Homebrew. Виконання цієї команди призводить до завантаження та інсталяції AmosStealer. Критичним фактором ризику є розміщення шкідливої реклами в пошуковій видачі Google, що суттєво підвищує рівень довіри потенційних жертв.
Позиція розробників та рекомендації з безпеки
Керівник проєкту Homebrew Майк Маккуейд підтвердив обізнаність команди щодо проблеми, однак відзначив обмежені можливості протидії даній загрозі. Особливої критики зазнала політика Google щодо верифікації рекламних оголошень.
Для захисту від подібних атак фахівці з кібербезпеки рекомендують: перевіряти URL-адреси перед переходом, використовувати виключно офіційні джерела для завантаження програмного забезпечення, застосовувати багатофакторну автентифікацію для критичних сервісів та регулярно оновлювати антивірусне програмне забезпечення. Особливу увагу слід приділяти перевірці командних рядків перед їх виконанням у терміналі.
