Новая вредоносная кампания показала, насколько опасным может стать сочетание поисковой рекламы и встроенных функций ИИ-платформ. Злоумышленники начали использовать легитимные публичные чаты сервиса Claude от Anthropic для распространения malware (malicious software, «вредоносное программное обеспечение») под видом инструкций по установке приложения для macOS.
Атаку обнаружил инженер по информационной безопасности компании Trendyol Group Берк Албайрак. По его данным, пользователи, ищущие в Google запросы вроде «Claude mac download», могут увидеть рекламное объявление, которое визуально ведёт на настоящий домен Claude.ai. Однако вместо официальной страницы загрузки человек попадает в общий чат Claude, оформленный как инструкция "Claude Code on Mac" якобы от службы поддержки Apple.
Внутри такого чата пользователю предлагают открыть терминал и вставить готовую команду. На деле она запускает цепочку скрытых скриптов, которые скачивают и активируют вредоносное ПО.
Журналисты BleepingComputer подтвердили существование как минимум двух независимых вариантов атаки. Оба используют одинаковую схему социальной инженерии, но различаются инфраструктурой, доменами и полезной нагрузкой. При этом ссылки действительно ведут на официальный сайт Claude.ai — никаких фишинговых копий или поддельных доменов пользователь не видит.
После запуска команда загружает зашифрованный shell-скрипт, который работает полностью в памяти и практически не оставляет следов на диске. Один из обнаруженных вариантов использует полиморфную доставку: сервер генерирует уникально обфусцированную версию загрузчика при каждом запросе, что затрудняет обнаружение по сигнатурам и хешам.
Исследователи также обнаружили встроенную географическую фильтрацию. Скрипт проверяет, используются ли на компьютере русская раскладка клавиатуры или настройки стран СНГ. Если такие параметры обнаруживаются, то вредоносный код прекращает работу и отправляет на сервер злоумышленников статус `cis_blocked`. Только устройства, прошедшие эту проверку, подвержены следующей стадии атаки.
Перед дальнейшим выполнением malware собирает информацию о внешнем IP-адресе жертвы, имени компьютера, версии macOS и языковых настройках системы. После этого запускается второй этап через osascript — встроенный механизм автоматизации macOS, позволяющий выполнить удалённый код без установки обычного приложения.
Один из вариантов вредоносного ПО исследователи идентифицировали как модификацию MacSync — инфостилера для macOS. Он крадет сохраненные пароли браузеров, cookies и содержимое системного хранилища Keychain, после чего отправляет данные на сервер операторов атаки.
Эксперты отмечают, что malvertising — распространение malware через рекламные объявления — давно стало одной из основных схем заражения. Ранее подобные кампании использовали поддельные сайты популярных программ вроде GIMP или Homebrew. Однако новая схема оказалась опаснее: теперь злоумышленникам даже не нужно создавать фейковый домен. Пользователь видит настоящий адрес Claude.ai и может автоматически доверять содержимому страницы.
Похожая схема уже использовалась против пользователей ChatGPT и Grok, однако атака через Claude потенциально охватывает более широкую аудиторию — в том числе людей без технической подготовки, которые могут без подозрений вставить команду в терминал.
Специалисты рекомендуют загружать приложения Claude только через официальные сайты и избегать переходов по рекламным ссылкам в поисковой выдаче. Кроме того, эксперты напоминают: любые инструкции, требующие вставить готовую команду в терминал, должны рассматриваться как потенциально опасные — независимо от того, где они опубликованы.