Gefälschte Links locken in die Falle
Eine gefährliche Malvertising-Kampagne versetzt aktuell Google-Nutzer in Alarmbereitschaft. Die Täter täuschen Links vor die scheinbar zur offiziellen Homebrew-Webseite führen. Ein genauer Blick auf die URL offenbart jedoch den Betrug.
Offizielle Webseite unter der Lupe
Die Webseite brew.sh stellt die legitime Plattform für das Homebrew-Projekt dar. Homebrew ist ein zurückhaltender – aber entscheidend wichtiger – Open-Source-Paketmanager für macOS. Zahlreiche Open-Source-Programme stehen über diesen Service bereit.
Betrügerische Imitation ist treffend gestaltet
Homebrew genießt große Popularität. Daher könnten viele ahnungslose Nutzer auf die gefälschten Werbeanzeigen bei Google hereinfallen. Obwohl die Werbung korrekte URLs zu verwenden scheint wird hier clever getäuscht. Auffällig ist, dass an mehreren Stellen "brew.sh" oder "https://www.brew.sh" genannt wird.
Dreiste Falle für Opfer
Klicken potenzielle Opfer auf den Link, landen sie auf einer Webseite die der Original-Homebrew-Seite sehr ähnlich sieht. Der Trick: Die URL lautet "brewe[.].sh" und hat ein zusätzliches "e" am Ende. Das führt dazu, dass der angegebene Installationsbefehl nicht zum regulären Homebrew-Installationsskript auf "githubusercontent.com" führt. Stattdessen verweist er auf eine vermutlich kompromittierte und willkürliche URL.
Entdeckung & Warnungen
Ryan Chenkie entdeckte diesen Betrug und teilte seine Beobachtungen auf der Plattform X mit. Gängige Webbrowser wie Smartscreen und URL-Filter schlagen mittlerweile Alarm, wenn Nutzer versuchen die betrügerische Domain zu besuchen. Abschließend ist die Seite momentan nicht erreichbar. Selbst wenn man die Warnungen ignoriert bleibt der Zugriff verwehrt.
Sicherheitshinweise für Homebrew-Nutzer
Nutzer die in der letzten Zeit Homebrew installiert haben, sollten dringend ihre Skripte überprüfen. Es ist wichtig festzustellen, ob die URL im curl-Befehl auf vertrauenswürdige Ziele zeigt oder eher zufällig scheint. Die Anzeige der Bash-History (.bash_history) kann hilfreiche Informationen liefern. Es empfiehlt sich die Aufrufe des curl-Befehls durch den Befehl `cat ~/.bash_history | grep curl` zu filtern.
Security-Audit bringt Klarheit
Das echte Homebrew-Projekt führte im vergangenen Jahr ein umfassendes Security-Audit durch. 25 Schwachstellen wurden identifiziert und die Mehrheit davon behoben. Sicherheit bleibt dadurch ein zentrales Anliegen für die Community der Homebrew-Nutzer.
Kommentare