偽のHomebrewのGoogle広告でマルウェアを拡散するキャンペーンが確認

セキュリティニュース

投稿日時: 更新日時:

偽のHomebrewのGoogle広告でマルウェアを拡散するキャンペーンが確認

最近、Macユーザーを標的にした悪意のあるGoogle広告がマルウェア攻撃を引き起こしました。この攻撃では、正規の「Homebrew」パッケージマネージャーを装った偽のWebサイトが利用され、ユーザーが悪意のあるコードをインストールしてしまう危険性があります。

偽のHomebrewのGoogle広告を利用したキャンペーンの概要

このキャンペーンは研究者の@ryanchenkie氏によって発見されました。

グーグル広告上では正しい Homebrew URL「brew.sh」を表示し、一見すると正規サイトに見えます。

偽のHomebrewのGoogle広告

画像:@ryanchenkie氏投稿

しかし、遷移先サイトは正しいURL「brew.sh」ではなく「brewe.sh」でホストされている偽の Homebrew サイトにリダイレクトしました。

偽サイトはタイポスクワッティングしていますが、一見すると見分けがつきません。

サイトにアクセスすると、訪問者は macOS ターミナルまたは Linux シェル プロンプトに表示されるコマンドを貼り付けて Homebrew をインストールするよう画面で指示されます。

画像:@ryanchenkie氏投稿

実際、正規の Homebrew サイトでは、正規のソフトウェアをインストールするために実行する同様のコマンドが提供されています。

ただし、偽の Web サイトに表示されているコマンドを実行すると、デバイスにマルウェアがダウンロードされ、実行されます。

Mac HomebrewプロジェクトのリーダーのMcQuaid氏によると、この広告は削除済みであるがメーカー側はこう言った偽の広告に対処ができない為、何度も同様の事件が発生しておりグーグルの対応を強く批判しています。

過去確認されたアドバタイジング攻撃

各種グーグル広告を利用したフィッシングサイトへの誘導(アドバタイジング攻撃)は過去にも観測されており、

2024年4月末日にリリースされたWindows版の「Arc ブラウザ(Arc search )」の偽ダウンロードを観測し、ダウンロードすると正規のArc ブラウザはダウンロードされるが裏側でマルウェアに感染し、気づく事ができない可能性があると注意喚起しました。