Bleeping Computerは1月21日(米国時間)、「Fake Homebrew Google ads target Mac users with malware」において、オープンソースのパッケージマネージャー「Homebrew」のマルバタイジングが発見されたと報じた。

攻撃者は何らかの手段でGoogleに偽の広告を掲載し、アクセスしたユーザーにmacOS向け情報窃取マルウェア「Amos Stealer(別名:Atomic Stealer)」を配布したとみられる。

  • Fake Homebrew Google ads target Mac users with malware

    Fake Homebrew Google ads target Mac users with malware

偽の広告

このマルバタイジングキャンペーンはソフトウェア開発者のRyan Chenkie氏により発見された。同氏はXへの投稿で次のように述べている。

開発者の皆さん、Homebrewをインストールする際は注意してください。GoogleはマルウェアへのcURLコマンドを含む複製されたHomebrewサイトへのスポンサーリンクを提供しています。このサイトのURLは公式サイトと1文字違います。

  • Ryan Chenkie氏のXへの投稿

    Ryan Chenkie氏のXへの投稿

公開されたGoogle検索の画像から、公式サイトの上位に悪意のある偽サイトを表示している様子が確認できる。Googleは偽広告のリンク先を「www.brew[.]sh」としているが、実際にアクセスすると1文字違いの「brewe[.]sh」にリダイレクトされるという。

マルウェアの配布

偽サイトは公式サイトとほぼ同じ作りになっており、インストールする手順(コマンド入力)も模倣している。しかしながら、インストールコマンドが公式と異なり、実行するとマルウェアをインストールすることになる。

  • Homebrewの偽サイト - 引用:Ryan Chenkie氏のXへの投稿

    Homebrewの偽サイト 引用:Ryan Chenkie氏のXへの投稿

Homebrewのプロジェクトリーダーを務めるMike McQuaid氏はこの件について次のように述べ、Googleの不十分な広告審査を非難した。

偽の広告はもう削除されたようです。これについて私たちにできることは、ほとんどありません。繰り返し発生しており、Googleは詐欺師からお金を受け取るのが好きなようです。

  • Mike McQuaid氏のXへの投稿

    Mike McQuaid氏のXへの投稿

Google検索は頻繁にマルバタイジングに悪用されている。そのため、Google検索の結果、特にスポンサー広告は信用せず、ブックマークなどから目的のWebサイトにアクセスすることが推奨されている。