Siber suçlular, Google reklamlarını kötüye kullanarak Mac ve Linux kullanıcılarını hedef alan yeni bir malware kampanyası başlattı. Bu kampanyada, popüler açık kaynaklı paket yöneticisi Homebrew taklit edilerek kullanıcıların kimlik bilgileri, tarayıcı verileri ve kripto para cüzdanları çalınıyor.
Kampanya, Ryan Chenkie tarafından fark edildi ve X (eski Twitter) üzerinden kullanıcılar uyarıldı. AmosStealer (diğer adıyla ‘Atomic’) adlı malware, macOS sistemler için tasarlanmış bir bilgi hırsızı ve siber suçlulara aylık 1.000 dolara abonelik modeliyle satılıyor. Bu malware, daha önce sahte Google Meet sayfaları üzerinden de yayılmıştı ve şu anda Apple kullanıcılarını hedef alan siber suçluların en popüler aracı haline geldi.
Homebrew Kullanıcıları Nasıl Hedef Alınıyor?
Homebrew, macOS ve Linux kullanıcılarının komut satırı üzerinden yazılım yüklemesine, güncellemesine ve yönetmesine olanak tanıyan popüler bir paket yöneticisi. Sahte Google reklamı, doğru Homebrew URL’si olan “brew.sh” adresini göstererek kullanıcıları kandırıyor. Ancak reklama tıklandığında, kullanıcılar “brewe.sh” adresindeki sahte bir siteye yönlendiriliyor.
Bu sahte sitede, kullanıcılardan macOS Terminal veya Linux shell’e belirli bir komutu yapıştırarak Homebrew’i yüklemesi isteniyor. Orijinal Homebrew sitesi de benzer bir komut sunuyor, ancak sahte sitede bu komut malware yüklemek için kullanılıyor.
Güvenlik araştırmacısı JAMESWT, bu kampanyada kullanılan malware’in AmosStealer olduğunu tespit etti. Bu malware, 50’den fazla kripto para eklentisini, masaüstü cüzdanlarını ve tarayıcılarda saklanan verileri hedef alıyor.
Homebrew Açıklama Yaptı
Homebrew projesinin lideri Mike McQuaid, konuyla ilgili farkındalık olduğunu ancak bunun projenin kontrolü dışında gerçekleştiğini belirtti. McQuaid, Google’ı sahtekarların reklam vermesine izin verdiği için eleştirdi ve kullanıcıları uyardı:
“Mac Homebrew Proje Lideri olarak durumun farkındayız. Görünüşe göre reklam şu anda kaldırıldı. Ancak bu tür olaylar tekrar tekrar yaşanıyor ve Google sahtekarların reklam vermesine izin veriyor. Lütfen bu durumu duyurmaya çalışın”
Şu anda sahte reklam kaldırılmış olsa da kampanya farklı yönlendirme alanları üzerinden devam edebilir. Bu nedenle Homebrew kullanıcılarının, projeyle ilgili sponsorlu reklamlara tıklarken dikkatli olması gerekiyor.
Maalesef, Google arama sonuçlarında sahte reklamlar yaygın bir sorun olmaya devam ediyor. Hatta daha önce Google reklam verenlerini hedef alan benzer bir kampanya da tespit edilmişti. Bu kampanyada, siber suçlular Google reklam hesaplarını çalarak sahte reklamlar yayınlamıştı. Saldırıdan korunmak için şu adımları uygulayabilirsiniz;
- Google’da bir bağlantıya tıklarken, gerçek siteye yönlendirildiğinizden emin olun.
- Yazılım indirmeden veya hassas bilgilerinizi girmeden önce sitenin doğruluğunu kontrol edin.
- Sık kullandığınız resmi proje sitelerini yer imlerinize ekleyin ve arama yapmak yerine bu bağlantıları kullanın.
Homebrew kullanıcıları, sahte Google reklamları aracılığıyla yayılan AmosStealer malware’ine karşı dikkatli olmalı. Bu tür saldırılardan korunmak için resmi sitelere doğrudan erişim sağlamak ve sponsorlu reklamlara tıklarken şüpheci davranmak büyük önem taşıyor. Google’ın bu tür sahte reklamları engelleme konusunda daha etkili adımlar atması gerekiyor.
