Хакери злоупотребуваат Google реклами и споделени разговори на Claude.ai за ширење малициозен софтвер за Mac.

Напаѓачите користат Google Ads и легитимни споделени Claude.ai разговори во активна malvertising кампања.

Корисниците кои пребаруваат „Claude mac download“ може да наидат на спонзорирани резултати од пребарување кои ја прикажуваат „claude.ai“ како целна веб-страница, но всушност водат до инструкции што инсталираат малициозен софтвер на нивниот Mac.

Споделени Claude разговори злоупотребени за таргетирање на macOS корисници

Кампањата била откриена од Berk Albayrak, безбедносен инженер во Trendyol Group, кој ги споделил своите наоди на LinkedIn.

Berk Albayrak идентификувал споделен разговор на Claude.ai кој се претставува како официјален водич за инсталација „Claude Code on Mac“, наводно објавен од „Apple Support“.

Разговорот ги води корисниците да го отворат Terminal и да внесат команда, која тивко презема и извршува малициозен софтвер на нивниот Mac.

Додека се обидувал да ги потврди наодите на Албајрак, BleepingComputer наишол на втор споделен Claude разговор кој ја извршувал истата атака преку целосно различна инфраструктура.

Двата разговора следат идентична структура и пристап на социјален инженеринг, но користат различни домени и payload-датотеки. И двата разговора биле јавно достапни во моментот на пишување на извештајот:

Што прави macOS малициозниот софтвер?

Base64 инструкциите прикажани во споделениот разговор на Claude.ai преземаат енкодиран shell script од домени како:

• Во варијантата забележана од Berk Albayrak [VirusTotal]:
  hxxp://customroofingcontractors[.]com/curl/b42a0ed9d1ecb72e42d6034502c304845d98805481d99cea4e259359f9ab206e
• Во варијантата забележана од BleepingComputer [VirusTotal]:
  hxxps://bernasibutuwqu2[.]com/debug/loader.sh?build=a39427f9d5bfda11277f1a58c89b7c2d

„loader.sh“ (испорачан преку вториот линк погоре) претставува уште еден сет на Gunzip-компресирани shell инструкции:

Оваа компресирана shell скрипта се извршува целосно во меморија, што остава минимални траги на дискот.

BleepingComputer забележал дека серверот испорачува уникатно обфускирана верзија од payload-от при секое барање (техника позната како полиморфна испорака), што го отежнува откривањето од безбедносни алатки базирани на хаш или потпис.

Варијантата која ја идентификувал Berk Albayrak започнува со проверка дали машината има конфигурирани руски или CIS-регионални тастатурни распореди. Ако има, скриптата се исклучува без да изврши ништо, испраќајќи тивок „cis_blocked“ сигнал назад кон серверот на напаѓачите.

Само уредите што ја поминуваат оваа проверка продолжуваат кон следната фаза на нападот.

BleepingComputer известува дека пред да продолжи понатаму, скриптата собира информации за жртвата, вклучувајќи ја надворешната IP адреса, hostname, верзијата на оперативниот систем и јазикот/распоредот на тастатурата. Овој вид профилирање пред испорака на payload сугерира дека операторите селективно ги таргетираат жртвите.

Потоа скриптата презема второстепен payload и го извршува преку AppleScript (osascript), вграден механизам во macOS. Ова му овозможува на напаѓачот далечинско извршување код без да остави класична апликација или бинарна датотека на системот.

Варијантата идентификувана од Berk Albayrak, сепак, изгледа дека ги прескокнува чекорите за профилирање и веднаш преминува на извршување.

Таа варијанта собира лозинки од прелистувачи, колачиња (cookies) и содржина од macOS Keychain, ги пакува и ги испраќа на серверот на напаѓачите. Албајрак ја идентификувал оваа верзија како варијанта на MacSync macOS infostealer.

Доменот briskinternet.com прикажан погоре во варијантата идентификувана од Berk Albayrak во моментот на пишување изгледал неактивен.

Кога легитимниот URL е злоупотребен

Malvertising стана повторлив механизам за испорака на малициозен софтвер.

BleepingComputer претходно има известувано за слични кампањи што таргетираат корисници кои пребаруваат софтвер како GIMP, каде убедлива Google реклама водела до фишинг-страница што изгледала како легитимен домен.

Во оваа кампања ситуацијата е обратна: нема лажен домен што може лесно да се забележи.

Двете Google реклами водат кон вистинскиот домен на Anthropic — claude.ai — бидејќи напаѓачите ги сместуваат малициозните инструкции во споделени Claude разговори. Значи, дестинацискиот URL во рекламата е навистина легитимен.

Ова не е првпат AI платформи да се злоупотребуваат на ваков начин. Во декември, BleepingComputer извести за слична кампања што таргетирала корисници на ChatGPT и Grok.

Порано оваа година, напаѓачи изведоа речиси идентична кампања насочена кон macOS развивачи кои бараат Homebrew.

Целта на таргетирање на Claude е поширока публика — не само технички корисници, туку и луѓе што се љубопитни за AI и кои полесно можат да извршат терминал-команди без проверка.

Препораката е корисниците директно да одат на claude.ai за преземање на официјалната апликација, наместо да кликнуваат спонзорирани резултати од пребарување. Легитимниот Claude Code CLI е достапен преку официјалната документација на Anthropic и не бара копирање команди од разговори.

Општо правило е дека секоја инструкција што бара лепење терминал-команди треба да се третира со претпазливост, без разлика од каде доаѓа.

BleepingComputer контактираше со Anthropic и Google за коментар пред објавување.

Извори:

• Bleeping Computer – Hackers abuse Google ads, Claude.ai chats to push Mac malware Bleeping Computer