Злоумышленники продвигают в Google «рекламные акции» по установке Homebrew. Когда пользователи нажимают на объявление, они перенаправляются на веб-сайт, интерфейс которого выглядит почти так же, как настоящая страница Homebrew. Учитывая, что поддельная реклама публикуется в Google Ads, это повышает вероятность того, что люди могут нажать на нее и стать жертвами фишеров.

Попав на поддельный веб-сайт, пользователям предлагается загрузить вредоносный скрипт. Когда человек устанавливает программу на свое устройство, она крадет данные браузера: файлы cookie, пароли и расширения, связанные с криптокошельками MetaMask, Coinbase Wallet и Phantom. Зараженная программа собирает данные криптовалютных кошельков Electrum, Exodus, Atomic Wallet и Ledger Live, побуждая пользователей вводить системные пароли.

Кроме того, вредоносное ПО собирает у пользователей системную информацию, данные связки ключей и файлы из Telegram. Главная цель мошенников в том, чтобы украсть активы жертв и перевести на собственные счета.

Учитывая, что атаки злоумышленников становятся все более продвинутыми, эксперты Scam Sniffer порекомендовали держателям криптовалют не нажимать на рекламные объявления криптосервисов в поисковых системах, а находить веб-сайт желаемого сервиса самостоятельно. При этом стоит убедиться, что веб-сайт является настоящим, а не поддельным сайтом-двойником. Также рекомендуется использовать антивирусное программное обеспечение.

В декабре эксперты Scam Sniffer обнаружили поддельный веб-сайт, имитирующий NFT-проект Pudgy Penguins. Мошенники тоже публиковали вредоносную рекламу в поисковике Google.