Новая мошенническая схема ставит под удар пользователей Mac, которые привыкли доверять первым строчкам в поисковой выдаче Google. Хакеры массово скупают рекламные места, чтобы продвигать поддельный сайт популярного менеджера пакетов Homebrew. Метод оказался пугающе эффективным: он не требует сложных технических уязвимостей, а целиком опирается на привычки самих пользователей.
В чём суть обмана
Homebrew – популярный инструмент среди разработчиков и продвинутых пользователей macOS. Официальный процесс его установки требует, чтобы человек скопировал специальную команду с сайта проекта и вставил её в системное приложение «Терминал». Мошенники решили сыграть именно на этой особенности.
Атака начинается с того, что пользователь вводит запрос в Google. На первом месте (выше официального сайта) появляется спонсируемая рекламная ссылка. Она ведёт на ресурс-клон, который визуально полностью копирует настоящую страницу Homebrew.
Разница заключается лишь в одной детали: вместо легитимной команды для установки там размещён вредоносный скрипт. Как отмечается, хакеры используют кодировку Base64. Она маскирует истинное назначение команды, превращая её в длинную строку непонятных символов. Пользователи, привыкшие не глядя копировать и вставлять установочные скрипты, сами того не подозревая, снижают бдительность в самый критический момент.
Что воруют мошенники
Как только жертва вставляет скопированную команду в «Терминал» и нажимает Enter, код расшифровывается и активирует так называемый инфостилер – программу для кражи данных. Исследователи связывают эту кампанию с вредоносным ПО, известным как AM (или macOS Stealer).
Его главная мишень — конфиденциальная информация:
- данные из браузеров;
- сохранённые логины и пароли;
- криптовалютные кошельки.
Подобная тактика говорит о смене трендов в киберпреступности. Вместо прямого взлома систем хакеры всё чаще переходят к атакам, где человек сам запускает вирус на своём компьютере, доверяя спонсируемым ссылкам и знакомым инструкциям. Кроме того, злоумышленники быстро меняют домены фейковых сайтов, что сильно усложняет борьбу с ними.
Как защитить свой Mac
Чтобы не стать жертвой «левого» установщика, специалисты советуют соблюдать несколько простых правил:
- Заходите на сайт напрямую. Вводите адрес
brew.shв строку браузера вручную или сохраните его в закладки. Это исключает риск случайного перехода по мошеннической рекламе. - Внимательно проверяйте команды. Официальный скрипт установки Homebrew написан открытым текстом и понятен для чтения. Если сайт предлагает скопировать зашифрованную строку (особенно в формате Base64) или торопит с установкой – это тревожный сигнал.
- Используйте блокировщик рекламы. Это эффективный способ убрать спонсируемые результаты из выдачи и лишить хакеров их главного канала для распространения ссылок.
Если вы подозреваете, что уже запустили подозрительный код, действовать нужно быстро. Исходите из того, что система скомпрометирована: немедленно смените все важные пароли, включите двухфакторную аутентификацию и проверьте Mac на наличие скрытых процессов, которые вирусы используют для работы после перезагрузки компьютера.
