Los cibercriminales están utilizando Google Ads como arma una vez más, y esta vez el blanco son los usuarios de Mac y Linux. A través de un sitio falso que imita al popular gestor de paquetes Homebrew, están distribuyendo malware diseñado para robar credenciales, datos del navegador e incluso billeteras de criptomonedas.
Esta campaña maliciosa, utiliza un ladrón de información llamado AmosStealer (también conocido como 'Atomic'), un malware especializado en macOS que los atacantes adquieren por suscripción mensual de 1.000 dólares. No es la primera vez que este malware aparece en ataques similares, ya que recientemente se utilizó en campañas de anuncios falsos de Google Meet, consolidándose como la herramienta favorita de los ciberdelincuentes que buscan explotar la confianza de los usuarios de Apple.
¿Cómo funciona el anuncio falso?
Homebrew, el conocido gestor de paquetes de código abierto para macOS y Linux, es una herramienta muy popular entre quienes prefieren instalar y gestionar software directamente desde la línea de comandos. Pero esa misma popularidad lo ha convertido en un objetivo atractivo para los cibercriminales.
Recientemente, un anuncio malicioso en Google utilizó un truco bastante astuto: mostraba la URL legítima de Homebrew, "brew.sh", para ganar la confianza de los usuarios. Sin embargo, al hacer clic, las víctimas eran redirigidas a un sitio falso alojado en "brewe.sh" (sí, esa pequeña “e” extra lo cambia todo).
Esta técnica, conocida como malvertising, juega con la confianza y la inatención de los usuarios al hacer que un enlace parezca legítimo. Y aunque pueda parecer un truco simple, es increíblemente efectivo para engañar incluso a los usuarios más experimentados.
Podría interesarte leer: Hackers Estafan a Usuarios del SAT, IMSS e Infonavit en Google
Cuando llegas al sitio falso, te muestran un comando para instalar Homebrew, tal como lo haría el sitio oficial. Te piden que lo copies y lo pegues en la Terminal de macOS o en el shell de Linux, lo que parece completamente normal si ya estás familiarizado con este tipo de herramientas.
El problema es que ese comando no instala el verdadero Homebrew. En lugar de eso, descarga y ejecuta malware directamente en tu dispositivo. Es un truco peligroso porque imita exactamente el proceso que seguirías en el sitio oficial, lo que lo hace muy fácil de pasar por alto.
Sitio falso de Homebrew
Podría interesarte leer: Estafa en Google Ads: Anuncios Maliciosos Roban Credenciales y 2FA
¿Cómo protegerte de los anuncios maliciosos y evitar caer en estafas?
El malware utilizado en este caso es Amos, un ladrón de información muy potente que tiene como objetivo más de 50 extensiones de criptomonedas, billeteras de escritorio y datos almacenados en navegadores web. Lo preocupante es que este tipo de ataques se siguen aprovechando de la falta de control en los anuncios patrocinados de Google, poniendo en peligro a miles de usuarios.
El equipo detrás de Homebrew está al tanto de la situación, pero han señalado que no está en sus manos evitar estos anuncios falsos, criticando duramente a Google por permitir que los estafadores utilicen su plataforma para difundir campañas maliciosas. Aunque en este momento el anuncio engañoso ya fue eliminado, es posible que la campaña siga activa utilizando otros dominios de redirección, lo que significa que los usuarios de Homebrew deben mantenerse atentos y evitar hacer clic en anuncios patrocinados relacionados con el proyecto.
Por desgracia, los anuncios maliciosos no son un problema nuevo. En Google, este tipo de ataques también se ha utilizado para suplantar a entidades legítimas con el objetivo de robar cuentas y ejecutar campañas fraudulentas bajo su nombre.
Para protegerte de este tipo de riesgos, siempre verifica que los enlaces te lleven al sitio oficial antes de descargar cualquier software o ingresar información sensible. Una buena práctica es guardar en tus marcadores los sitios confiables de los proyectos o herramientas que utilizas con frecuencia. Así evitarás buscar en Google cada vez y reducirás las probabilidades de caer en una trampa.