サイバー犯罪者はMacユーザーを攻撃するために古いトリックを使っている

ハッカーは、過去 20 年間断続的に使用されてきた攻撃ベクトルを利用して、人気の Homebrew ツールを装ったマルウェアで Mac ユーザーをターゲットにし、偽の Google 広告を通じてそれを拡散しています。

悪意のある攻撃者は、Google広告を利用して、偽のHomebrewウェブサイトを通じてマルウェアを拡散しています。このキャンペーンは、macOSおよびLinuxユーザーを標的とし、認証情報、ブラウザデータ、暗号通貨ウォレットを侵害するインフォスティーラーを使用しています。

広く普及しているオープンソースのパッケージマネージャーであるHomebrewは、コマンドラインからソフトウェアを管理できるツールです。ハッカーは最近、Homebrewの人気に乗じて悪質なGoogle広告を作成しました。

開発者のライアン・チェンキー氏が発見したこの広告は、Homebrewウェブサイト「brew.sh」の正しいURLを表示しており、一見正当な広告のように見えました。しかし、クリックしたユーザーは「brewe.sh」でホストされている偽のウェブサイトにリダイレクトされました。

偽サイトはHomebrewのインストールプロセスを模倣し、訪問者を騙して悪意のあるコマンドを実行させようとしました。正規のHomebrewサイトも同様のインストールコマンドを提供していますが、偽サイトのスクリプトを実行すると、マルウェア、具体的にはAmosStealerがダウンロードされ、実行されました。

AmosStealer（別名「Atomic Stealer」）は、macOSを標的としたインフォスティーラーで、サイバー犯罪者に月額1,000ドルで販売されています。50以上の暗号通貨ウォレット、ブラウザに保存されたデータ、デスクトップアプリを標的としています。

このマルウェアは、これまでにも偽の Google Meet ページなど、同様のキャンペーンで使用されており、Apple を狙ったサイバー攻撃の定番ツールとなっている。

Homebrewのプロジェクトリーダーであるマイク・マクエイド氏は、Googleがこのような詐欺行為を防止できないことに不満を表明した。悪質な広告は削除されたものの、マクエイド氏はスポンサー広告の監視が不十分なために同様の事件が引き続き発生していると指摘した。

サイバーセキュリティの専門家は、人気ツールを検索する際にはスポンサーリンクを避けることを推奨しています。公式サイトをブックマークするか、直接アクセスすることで、リスクを最小限に抑えることができます。

Googleのハッカーとの闘い

悪質な広告を抑制するのは容易ではありません。サイバー犯罪者は、URLを微調整したり、承認後に広告コンテンツを変更したりと、巧妙な手口で検出をすり抜けようと常に試みています。

Googleは毎日数十億もの広告を処理するため、自動化に大きく依存していますが、それだけでは十分ではありません。その業務規模の大きさと、人間による監視が不十分なため、悪質なキャンペーンが紛れ込んでしまうのは避けられません。

例えば、2023年4月には、同じAmosStealerマルウェアが初めて検出され、メッセージングアプリTelegramを通じて販売されていました。同年9月、ハッカーたちは悪意のあるGoogle広告に目を向けました。

また、2024 年 8 月には、攻撃者が Loom などの人気アプリケーションの偽バージョンを作成し、偽の Google スポンサー URL を通じてユーザーを騙してマルウェアをダウンロードさせようとしました。

有害な広告を識別して削除するツールがあっても、詐欺師の戦術は進化し、世界中で規則を施行する複雑さが増すため、Google は先頭に立つのに苦労しています。

悪質なGoogle広告を避ける方法

こうした種類の攻撃から身を守るには、クリックする前に必ず Web サイトの URL を再確認し、信頼できるサイトをブックマークに登録し、見慣れないリンクやスポンサーリンクからソフトウェアをインストールしないようにします。

Googleはこの特定の悪質広告を削除しました。歴史が証明しているように、悪質広告の危険性は依然として残っています。そのため、Macユーザー、特にHomebrewを使用しているユーザーは、引き続き注意を払う必要があります。