Киберпреступники начали использовать рекламные объявления в Google и публичные чаты Anthropic Claude для распространения вредоносного ПО на компьютерах Mac. Пользователи, ищущие в поиске «Claude mac download», могут столкнуться со платными ссылками, ведущими на настоящий домен claude.ai, однако внутри таких страниц размещаются инструкции по заражению устройства. Об этом сообщает издание BleepingComputer (BC).
Кампанию обнаружил инженер по безопасности Trendyol Group Берк Албайрак. По его данным, злоумышленники использовали функцию shared chats в Claude, выдавая вредоносные инструкции за официальное руководство по установке Claude Code для macOS от имени Apple Support.
Пользователям предлагалось открыть Terminal и вставить команду, которая незаметно загружала и запускала вредоносный код. Позже журналисты BleepingComputer обнаружили еще одну аналогичную кампанию с другой инфраструктурой, но идентичной схемой социальной инженерии.
Исследователи выяснили, что скрипты загружаются в память устройства в сжатом и зашифрованном виде, практически не оставляя следов на диске. При этом серверы генерировали уникальную обфусцированную версию вредоносного кода для каждого запроса, что затрудняло обнаружение угрозы антивирусами.
Одна из обнаруженных версий проверяла, используются ли на компьютере русские или другие CIS-раскладки клавиатуры. Если такие настройки находились, выполнение скрипта прекращалось. В остальных случаях злоумышленники собирали IP-адрес, имя устройства, версию macOS и другую информацию о системе, а затем запускали следующий этап атаки.
По данным исследователей, одна из модификаций вредоносного ПО относится к семейству инфостилеров MacSync и предназначена для кражи паролей браузеров, cookies и содержимого связки ключей macOS.
Эксперты отмечают, что схема отличается от традиционных фишинговых атак тем, что злоумышленники используют настоящий домен claude.ai, а не поддельные сайты. Ранее аналогичные кампании уже проводились против пользователей OpenAI ChatGPT и Grok.
Специалисты рекомендуют загружать приложения Claude только напрямую через официальный сайт и с осторожностью относиться к любым инструкциям, требующим вставки команд в Terminal.
Ранее выяснилось, что хакеры начали создавать эксплойты нулевого дня с помощью ИИ.
