Eine Malvertising-Kampagne läuft bei Google: Mit Links, die vermeintlich auf die Homebrew-Webseite führen, versuchen die Täter ihre Opfer zu ködern. Wer genau hinschaut, entdeckt den kleinen Fehler in der URL.
Anzeige
Die Webseite brew.sh ist die offizielle Webseite zum Homebrew-Projekt, das diverse Open-Source-Programme für macOS verfügbar macht. Es handelt sich um einen – oder eigentlich korrekter, den – Open-Source-Paketmanager für Macs.
Homebrew ist äußerst populär. Daher könnten Opfer auf solche Werbeanzeigen bei Google hereinfallen, die vermeintlich auf die Homewbrew-Webseite verweisen. Die Werbung scheint auch noch korrekte URLs zu verwenden: An mehreren Stellen findet sich die URL "brew.sh" respektive "https://www.brew.sh".
Klicken potenzielle Opfer auf den Link, landen sie auf einer Webseite, die der Original-Homebrew-Webseite zum Verwechseln ähnelt. Die URL lautet jedoch "brewe[.].sh", mit einem zusätzlichen "e" am Ende. Der angegebene Konsolenbefehl, der zur Installation des brew-Systems dient, verweist jedoch nicht auf das reguläre Homebrew-Installationsskript unter "githubusercontent.com", sondern auf eine eher beliebige, vermutlich kompromittierte URL.
Das hat der User Ryan Chenkie entdeckt und auf X mitgeteilt. Inzwischen schlagen Smartscreen- und URL-Filter gängiger Webbrowser auf die betrügerische bösartige Domain an und warnen vor dem Besuch der Seite. Die ist zudem, wenn man die Warnungen ignoriert, derzeit nicht erreichbar.
Wer in jüngerer Vergangenheit Homebrew installiert hat, sollte prüfen, ob die URL für den curl-Befehl auf vertrauenswürdige Ziele gewiesen hat oder eher beliebig wirken. Die Anzeige der Bash-History (.bash_history) kann darüber Aufschluss geben. Aufrufe des curl-Befehls lassen sich beispielsweise mit dem Befehl cat ~/.bash_history | grep curl ausfiltern.
Das echte Homebrew hat Mitte vergangenen Jahres ein unabhängiges Security-Audit absolviert. Dabei kamen 25 Schwachstellen ans Licht, von denen die meisten dort bereits umgehend ausgebessert wurden.
(
Kommentare