Malvertising: Mac-Homebrew-User im Visier
Kriminelle haben bösartige Werbeanzeigen auf Google geschaltet, die anstatt auf die Homebrew-Webseite auf eine echt wirkende Malware-Seite leitet.
(Bild: Screenshot / dmk)
Eine Malvertising-Kampagne läuft bei Google: Mit Links, die vermeintlich auf die Homebrew-Webseite führen, versuchen die Täter ihre Opfer zu ködern. Wer genau hinschaut, entdeckt den kleinen Fehler in der URL.
Die Webseite brew.sh ist die offizielle Webseite zum Homebrew-Projekt, das diverse Open-Source-Programme für macOS verfügbar macht. Es handelt sich um einen – oder eigentlich korrekter, den – Open-Source-Paketmanager für Macs.
Webseite täuschend ähnlich imitiert
Homebrew ist äußerst populär. Daher könnten Opfer auf solche Werbeanzeigen bei Google hereinfallen, die vermeintlich auf die Homewbrew-Webseite verweisen. Die Werbung scheint auch noch korrekte URLs zu verwenden: An mehreren Stellen findet sich die URL "brew.sh" respektive "https://www.brew.sh".
Klicken potenzielle Opfer auf den Link, landen sie auf einer Webseite, die der Original-Homebrew-Webseite zum Verwechseln ähnelt. Die URL lautet jedoch "brewe[.].sh", mit einem zusätzlichen "e" am Ende. Der angegebene Konsolenbefehl, der zur Installation des brew-Systems dient, verweist jedoch nicht auf das reguläre Homebrew-Installationsskript unter "githubusercontent.com", sondern auf eine eher beliebige, vermutlich kompromittierte URL.
Das hat der User Ryan Chenkie entdeckt und auf X mitgeteilt. Inzwischen schlagen Smartscreen- und URL-Filter gängiger Webbrowser auf die betrügerische bösartige Domain an und warnen vor dem Besuch der Seite. Die ist zudem, wenn man die Warnungen ignoriert, derzeit nicht erreichbar.
Wer in jĂĽngerer Vergangenheit Homebrew installiert hat, sollte prĂĽfen, ob die URL fĂĽr den curl-Befehl auf vertrauenswĂĽrdige Ziele gewiesen hat oder eher beliebig wirken. Die Anzeige der Bash-History (.bash_history) kann darĂĽber Aufschluss geben. Aufrufe des curl-Befehls lassen sich beispielsweise mit dem Befehl cat ~/.bash_history | grep curl ausfiltern.
Das echte Homebrew hat Mitte vergangenen Jahres ein unabhängiges Security-Audit absolviert. Dabei kamen 25 Schwachstellen ans Licht, von denen die meisten dort bereits umgehend ausgebessert wurden.
(dmk)