假冒 Homebrew 网站传播恶意软件

重点提炼

• 不法分子利用假冒的 Homebrew 网站通过 Google 广告传播信息窃取恶意软件，主要针对 macOS 和 Linux 设备。
• 安全研究员 Ryan Chenkie 第一次揭露此广告活动，并警告大家。
• 新发现的恶意软件名为 Amos，专攻浏览器、桌面钱包和加密货币扩展程序中的数据。
• 用户应始终访问合法网站，确认应用供应商和来源，以降低风险。

最近，不法分子在一系列 页面中利用假冒的 Homebrew网站分发信息窃取恶意软件，目标直指 和 Linux 设备。

这一新的 Google 广告活动最早是由安全研究员 于 1 月 18 日在社交平台 X 上揭露的，他对安全专家发出了警告。另一位安全研究员 也在 X 上表示，最近的 Google 广告活动中传播的恶意软件正是 Amos，它专门针对存储在浏览器、桌面钱包和加密货币扩展中的数据。

活动的运作方式

该广告活动的运作逻辑如下：恶意 Google 广告显示了合法的 Homebrew URL，但实际上该广告会将用户重定向到一个假冒的 Homebrew页面，其域名为“brewe.sh”，通过额外的一个“e”字母来诱骗用户，即使是最谨慎的用户也容易上当。

有趣的是，更具技术能力的人通常会使用 Homebrew，这是一种流行的开源平台，允许 macOS 和 Linux 用户安装、更新和管理软件。JamfThreat Labs 的主管 Jaron Bradley 表示：“恶意软件作者正在瞄准技术用户，他们更有可能安装像 Homebrew这样的工具，这通常是高级用户或开发者使用的。这些个体通常持有高价值资产，比如加密货币钱包或敏感的工作凭证。”

Qualys Threat Research Unit 的网络威胁主管 Ken Dunham补充说，在这次攻击中，“brew”和“brewe”的差异某些用户可能难以识别为恶意。

预防措施

Dunham表示，有一些最佳实践可以帮助团队应对这种情况：始终访问合法的应用和分发网站，确认应用供应商和来源，并直接通过网址访问，而不是通过邮件或手机链接。

他还提到：“恶意广告仍然是一个有效的电子犯罪市场策略，用户易被引导到恶意网站上，而不是使用真实来源，这样风险更小。”Dunham 指出，macOS成为更为流行的操作系统，因而在全球专业环境中吸引到更多的威胁角色，也因此越来越受到不法分子的攻击，2025年这一点在最近的攻击中得到了进一步证实。

Salt Security 的网络安全策略主管 Eric Schwake 表示，最新针对 macOS系统的恶意软件活动强调了网络犯罪分子利用广泛使用的软件和服务的持续威胁。 Schwake 表示，这些网络攻击者通过假冒 Homebrew网站传播恶意软件，展示了他们的精密和创新战术，持续寻找新的方法来误导和渗透用户。

“虽然恶意软件本身并不新颖，但通过 Google 广告进行投放强调了保护广告平台的紧迫性。” Schwake强调，广告商必须保持警惕，并采取措施验证他们所支持的网站的合法性。这个场景突显了组织在所有设备上强化安全措施的必要性，包括 macOS，因为这通常被认为比其他操作系统更安全。