แฮ็กเกอร์กำลังใช้ Google Ads เพื่อแพร่กระจายมัลแวร์ โดยใช้เว็บไซต์ปลอมของ Homebrew ในการโจมตีอุปกรณ์ Mac และ Linux ด้วยการใช้มัลแวร์ประเภท Infostealer ที่ถูกออกแบบมาเพื่อขโมยข้อมูล เช่น ข้อมูล credentials, ข้อมูลบนเบราว์เซอร์ และกระเป๋าเงินดิจิทัลของเหยื่อ
แคมเปญโฆษณาอันตรายบน Google นี้ถูกพบโดย Ryan Chenkie ซึ่งได้โพสต์คำเตือนบนแพลตฟอร์ม X เกี่ยวกับความเสี่ยงของการติดมัลแวร์
มัลแวร์ที่ใช้ในแคมเปญนี้คือ AmosStealer (หรือที่รู้จักในชื่อ 'Atomic') ซึ่งเป็นมัลแวร์ประเภท Infostealer ที่ออกแบบมาสำหรับระบบ macOS และถูกขายให้กับอาชญากรไซเบอร์รายอื่น โดยมีค่าสมัครสมาชิกเดือนละ 1,000 ดอลลาร์สหรัฐ
มัลแวร์นี้ถูกพบในแคมเปญ malvertising ที่มีการโปรโมตหน้าเว็บไซต์การประชุมปลอมของ Google Meet และในปัจจุบันกลายเป็นเครื่องมือในการขโมยข้อมูลสำหรับกลุ่มอาชญากรทางไซเบอร์ที่มุ่งเป้าไปที่ผู้ใช้ Apple
การกำหนดเป้าหมายไปที่ผู้ใช้ Homebrew
โดย Homebrew คือ open-source package manager ยอดนิยมสำหรับ macOS และ Linux ซึ่งจะอนุญาตให้ผู้ใช้ติดตั้งอัปเดต และจัดการซอฟต์แวร์จาก command line
โฆษณาปลอมบน Google แสดง URL ของ Homebrew ที่ดูเหมือนจะถูกต้องคือ "brew.sh" ซึ่งจะหลอกให้ผู้ใช้ที่คุ้นเคยคลิกเข้าไป แต่โฆษณาดังกล่าวกลับเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ Homebrew ปลอมที่มีชื่อว่า "brewe.sh" แทน
แฮ็กเกอร์ใช้เทคนิค URL นี้อย่างแพร่หลายเพื่อหลอกลวงผู้ใช้ให้คลิกไปที่เว็บไซต์ที่ดูเหมือนเป็นเว็บไซต์ที่มีความน่าเชื่อถือสำหรับโครงการ หรือองค์กรใดองค์กรหนึ่ง
เมื่อผู้ใช้เข้าสู่เว็บไซต์แล้ว จะได้รับแจ้งให้ติดตั้ง Homebrew โดยการใช้คำสั่งที่แสดงใน macOS Terminal หรือ Linux shell prompt บนเว็บไซต์ Homebrew ที่ดูน่าเชื่อถือ ซึ่งจะมีคำสั่งที่คล้ายกับคำสั่งทั่วไปที่ใช้ในการติดตั้งซอฟต์แวร์
อย่างไรก็ตาม เมื่อรันคำสั่งที่แสดงโดยเว็บไซต์ปลอม เว็บไซต์จะดาวน์โหลด และรันมัลแวร์บนอุปกรณ์
นักวิจัยด้านความปลอดภัย JAMESWT พบว่า มัลแวร์ที่ถูกดาวน์โหลดในกรณีนี้คือ Amos ซึ่งเป็นมัลแวร์ประเภท Infostealer ที่มีความสามารถสูง โดยจะมุ่งเป้าไปที่ extensions ของสกุลเงินดิจิทัลกว่า 50 รายการ และกระเป๋าเงินดิจิทัลบนเดสก์ท็อป รวมไปถึงข้อมูลที่เก็บอยู่ในเว็บเบราว์เซอร์
Mike McQuaid ผู้นำโครงการ Homebrew ระบุว่า ทีมงานของโครงการทราบถึงสถานการณ์นี้แล้ว แต่เน้นย้ำว่าสถานการณ์นี้อยู่นอกเหนือการควบคุมของพวกเขา พร้อมวิพากษ์วิจารณ์ Google ที่ขาดการตรวจสอบโฆษณาบน Google Ads
ปัจจุบันโฆษณาปลอมได้ถูกลบออกไปแล้ว แต่แคมเปญอาจยังคงทำงานต่อไปผ่านโดเมนอื่น ๆ ดังนั้นผู้ใช้งาน Homebrew ควรระมัดระวังโฆษณาบน Google Ads สำหรับโครงการนี้
โฆษณาที่เป็นอันตรายยังคงเป็นปัญหาในผลการค้นหาของ Google สำหรับคำค้นหาต่าง ๆ แม้กระทั่งสำหรับ Google Ads เอง
ในแคมเปญนี้ กลุ่มแฮ็กเกอร์ได้มุ่งเป้าไปที่ผู้ลงโฆษณาของ Google เพื่อขโมยบัญชี และดำเนินการแคมเปญภายใต้ชื่อเสียงขององค์กรที่มีความน่าเชื่อถือ และได้รับการตรวจสอบแล้ว
เพื่อลดความเสี่ยงจากการติดมัลแวร์ เมื่อใดก็ตามที่คลิกลิงก์ใน Google ควรตรวจสอบให้แน่ใจว่าถูกนำไปยังเว็บไซต์จริงของโครงการ หรือบริษัทนั้นก่อนที่จะกรอกข้อมูลที่สำคัญ หรือดาวน์โหลดซอฟต์แวร์
วิธีที่ปลอดภัยอีกวิธีหนึ่งคือการทำ bookmark เว็บไซต์ official ของโครงการที่ต้องเข้าเยี่ยมชมบ่อย ๆ เพื่อใช้เข้าเว็บไซต์เหล่านั้นแทนการค้นหาผ่าน Google ทุกครั้ง
ที่มา : bleepingcomputer.com
You must be logged in to post a comment.