Betrüger haben sich einem bekannten Trick bedient, um macOS-Nutzer in einer aktuellen Malware-Attacke anzugreifen.
Die getarnte Malware gibt sich dabei als das beliebte Homebrew-Tool aus. Die Verbreitung erfolgt über irreführende Google-Anzeigen.
Die Cyberkriminellen haben eine gefälschte Homebrew-Website erstellt und bewerben diese über Google Ads. Dabei zielen sie auf macOS-Nutzer ab, um einen Infostealer zu verbreiten, der Zugangsdaten, Browser-Informationen und Kryptowährungswallet kompromittiert.
Schädliche Befehle ausgeführt, „AmosStealer“ installiert
Der Entwickler Ryan Chenkie entdeckte eine verdächtige Anzeige, die auf den ersten Blick legitim wirkte und die korrekte URL „brew.sh“ anzeigte.
Klickte man jedoch darauf, wurde man auf die Fake-Seite „brewe.sh“ umgeleitet. Diese imitierte den Installationsprozess von Homebrew und verleitete Besucher dazu, einen schädlichen Befehl auszuführen, der die Malware AmosStealer installierte.
Malware späht Nutzer-Daten aus
AmosStealer, auch als „Atomic Stealer“ bekannt, ist ein auf macOS spezialisierter Infostealer, der Cyberkriminellen für 1000 Dollar pro Monat angeboten wird. Er zielt auf über 50 Kryptowährungswallets, im Browser gespeicherte Daten und Desktop-Apps ab.
Mike McQuaid, der Projektleiter von Homebrew, kritisierte Googles Unfähigkeit, solche Betrügereien zu verhindern. Obwohl die schädliche Anzeige entfernt wurde, betonte er, dass ähnliche Vorfälle aufgrund unzureichender Überwachung von Werbeanzeigen weiterhin auftreten.
Experten empfehlen euch, gesponserte Links beim Suchen nach populären Tools zu vermeiden und stattdessen offizielle Websites direkt aufzurufen oder als Lesezeichen zu speichern.
Google steht vor der Herausforderung, Milliarden von Anzeigen täglich zu überprüfen. Trotz automatisierter Systeme gelingt es Cyberkriminellen immer wieder, die Erkennung zu umgehen, indem sie URLs anpassen oder Anzeigeninhalte nach der Genehmigung ändern.
So schützt ihr euch vor der Malware
Ähnliche Angriffe mit AmosStealer wurden bereits im April 2023 über Telegram und im September desselben Jahres über Google Ads beobachtet. Im August 2024 erstellten Angreifer gefälschte Versionen beliebter Anwendungen wie Loom, um Nutzer über irreführende Google-gesponserte URLs zum Herunterladen von Malware zu verleiten.
Um sich vor solchen Angriffen zu schützen, sollten Nutzer URLs vor dem Klicken genau überprüfen, Lesezeichen für vertrauenswürdige Seiten verwenden und keine Software von unbekannten oder gesponserten Links installieren. Obwohl Google die spezifische Anzeige entfernt hat, bleibt die Gefahr durch schädliche Werbung bestehen, weshalb insbesondere Mac-Nutzer und Homebrew-Anwender wachsam bleiben müssen.
In diesem Artikel sind Partner-Links enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet Ihr Euch für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für Euch ändert sich am Preis nichts. Danke für Eure Unterstützung. Foto: Pixabay, via AppleInsider