โฆษณาปลอม Homebrew บน Google มุ่งเป้าโจมตีผู้ใช้ Mac ด้วยมัลแวร์

แฮ็กเกอร์กำลังใช้ Google Ads เพื่อแพร่กระจายมัลแวร์ โดยใช้เว็บไซต์ปลอมของ Homebrew ในการโจมตีอุปกรณ์ Mac และ Linux ด้วยการใช้มัลแวร์ประเภท Infostealer ที่ถูกออกแบบมาเพื่อขโมยข้อมูล เช่น ข้อมูล credentials, ข้อมูลบนเบราว์เซอร์ และกระเป๋าเงินดิจิทัลของเหยื่อ

แคมเปญโฆษณาอันตรายบน Google นี้ถูกพบโดย Ryan Chenkie ซึ่งได้โพสต์คำเตือนบนแพลตฟอร์ม X เกี่ยวกับความเสี่ยงของการติดมัลแวร์

มัลแวร์ที่ใช้ในแคมเปญนี้คือ AmosStealer (หรือที่รู้จักในชื่อ 'Atomic') ซึ่งเป็นมัลแวร์ประเภท Infostealer ที่ออกแบบมาสำหรับระบบ macOS และถูกขายให้กับอาชญากรไซเบอร์รายอื่น โดยมีค่าสมัครสมาชิกเดือนละ 1,000 ดอลลาร์สหรัฐ

มัลแวร์นี้ถูกพบในแคมเปญ malvertising ที่มีการโปรโมตหน้าเว็บไซต์การประชุมปลอมของ Google Meet และในปัจจุบันกลายเป็นเครื่องมือในการขโมยข้อมูลสำหรับกลุ่มอาชญากรทางไซเบอร์ที่มุ่งเป้าไปที่ผู้ใช้ Apple

การกำหนดเป้าหมายไปที่ผู้ใช้ Homebrew

โดย Homebrew คือ open-source package manager ยอดนิยมสำหรับ macOS และ Linux ซึ่งจะอนุญาตให้ผู้ใช้ติดตั้งอัปเดต และจัดการซอฟต์แวร์จาก command line

โฆษณาปลอมบน Google แสดง URL ของ Homebrew ที่ดูเหมือนจะถูกต้องคือ "brew.sh" ซึ่งจะหลอกให้ผู้ใช้ที่คุ้นเคยคลิกเข้าไป แต่โฆษณาดังกล่าวกลับเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ Homebrew ปลอมที่มีชื่อว่า "brewe.sh" แทน

แฮ็กเกอร์ใช้เทคนิค URL นี้อย่างแพร่หลายเพื่อหลอกลวงผู้ใช้ให้คลิกไปที่เว็บไซต์ที่ดูเหมือนเป็นเว็บไซต์ที่มีความน่าเชื่อถือสำหรับโครงการ หรือองค์กรใดองค์กรหนึ่ง

เมื่อผู้ใช้เข้าสู่เว็บไซต์แล้ว จะได้รับแจ้งให้ติดตั้ง Homebrew โดยการใช้คำสั่งที่แสดงใน macOS Terminal หรือ Linux shell prompt บนเว็บไซต์ Homebrew ที่ดูน่าเชื่อถือ ซึ่งจะมีคำสั่งที่คล้ายกับคำสั่งทั่วไปที่ใช้ในการติดตั้งซอฟต์แวร์

อย่างไรก็ตาม เมื่อรันคำสั่งที่แสดงโดยเว็บไซต์ปลอม เว็บไซต์จะดาวน์โหลด และรันมัลแวร์บนอุปกรณ์

นักวิจัยด้านความปลอดภัย JAMESWT พบว่า มัลแวร์ที่ถูกดาวน์โหลดในกรณีนี้คือ Amos ซึ่งเป็นมัลแวร์ประเภท Infostealer ที่มีความสามารถสูง โดยจะมุ่งเป้าไปที่ extensions ของสกุลเงินดิจิทัลกว่า 50 รายการ และกระเป๋าเงินดิจิทัลบนเดสก์ท็อป รวมไปถึงข้อมูลที่เก็บอยู่ในเว็บเบราว์เซอร์

Mike McQuaid ผู้นำโครงการ Homebrew ระบุว่า ทีมงานของโครงการทราบถึงสถานการณ์นี้แล้ว แต่เน้นย้ำว่าสถานการณ์นี้อยู่นอกเหนือการควบคุมของพวกเขา พร้อมวิพากษ์วิจารณ์ Google ที่ขาดการตรวจสอบโฆษณาบน Google Ads

ปัจจุบันโฆษณาปลอมได้ถูกลบออกไปแล้ว แต่แคมเปญอาจยังคงทำงานต่อไปผ่านโดเมนอื่น ๆ ดังนั้นผู้ใช้งาน Homebrew ควรระมัดระวังโฆษณาบน Google Ads สำหรับโครงการนี้

โฆษณาที่เป็นอันตรายยังคงเป็นปัญหาในผลการค้นหาของ Google สำหรับคำค้นหาต่าง ๆ แม้กระทั่งสำหรับ Google Ads เอง

ในแคมเปญนี้ กลุ่มแฮ็กเกอร์ได้มุ่งเป้าไปที่ผู้ลงโฆษณาของ Google เพื่อขโมยบัญชี และดำเนินการแคมเปญภายใต้ชื่อเสียงขององค์กรที่มีความน่าเชื่อถือ และได้รับการตรวจสอบแล้ว

เพื่อลดความเสี่ยงจากการติดมัลแวร์ เมื่อใดก็ตามที่คลิกลิงก์ใน Google ควรตรวจสอบให้แน่ใจว่าถูกนำไปยังเว็บไซต์จริงของโครงการ หรือบริษัทนั้นก่อนที่จะกรอกข้อมูลที่สำคัญ หรือดาวน์โหลดซอฟต์แวร์

วิธีที่ปลอดภัยอีกวิธีหนึ่งคือการทำ bookmark เว็บไซต์ official ของโครงการที่ต้องเข้าเยี่ยมชมบ่อย ๆ เพื่อใช้เข้าเว็บไซต์เหล่านั้นแทนการค้นหาผ่าน Google ทุกครั้ง

ที่มา : bleepingcomputer.com