
最近、Macユーザーを標的にした悪意のあるGoogle広告がマルウェア攻撃を引き起こしました。この攻撃では、正規の「Homebrew」パッケージマネージャーを装った偽のWebサイトが利用され、ユーザーが悪意のあるコードをインストールしてしまう危険性があります。
偽のHomebrewのGoogle広告を利用したキャンペーンの概要
このキャンペーンは研究者の@ryanchenkie氏によって発見されました。
グーグル広告上では正しい Homebrew URL「brew.sh」を表示し、一見すると正規サイトに見えます。
画像:@ryanchenkie氏投稿
しかし、遷移先サイトは正しいURL「brew.sh」ではなく「brewe.sh」でホストされている偽の Homebrew サイトにリダイレクトしました。
偽サイトはタイポスクワッティングしていますが、一見すると見分けがつきません。
サイトにアクセスすると、訪問者は macOS ターミナルまたは Linux シェル プロンプトに表示されるコマンドを貼り付けて Homebrew をインストールするよう画面で指示されます。
画像:@ryanchenkie氏投稿
実際、正規の Homebrew サイトでは、正規のソフトウェアをインストールするために実行する同様のコマンドが提供されています。
ただし、偽の Web サイトに表示されているコマンドを実行すると、デバイスにマルウェアがダウンロードされ、実行されます。
Mac HomebrewプロジェクトのリーダーのMcQuaid氏によると、この広告は削除済みであるがメーカー側はこう言った偽の広告に対処ができない為、何度も同様の事件が発生しておりグーグルの対応を強く批判しています。
過去確認されたアドバタイジング攻撃
各種グーグル広告を利用したフィッシングサイトへの誘導(アドバタイジング攻撃)は過去にも観測されており、
2024年4月末日にリリースされたWindows版の「Arc ブラウザ(Arc search )」の偽ダウンロードを観測し、ダウンロードすると正規のArc ブラウザはダウンロードされるが裏側でマルウェアに感染し、気づく事ができない可能性があると注意喚起しました。