Исследователи Moonlock Lab обнаружили новую волну атак на macOS через технику ClickFix. Злоумышленники соединили взломанные аккаунты Google Ads и публичный контент на claude.ai, чтобы заставить пользователей Mac самостоятельно запустить вредоносный код.
Схема выглядит так: поиск в Google по обычному запросу — например, «brew macos» — возвращает рекламную ссылку на страницу claude.ai. Страница является легитимным публичным артефактом, но контент на ней подменен злоумышленниками. Там приведена пошаговая инструкция по установке инструмента, а в финальной команде — вместо реального кода — base64-кодированная строка, которая загружает и запускает малварь. Артефакт просмотрели более 15 600 раз до обнаружения.
Для распространения рекламы злоумышленники взломали проверенные Google Ads аккаунты — в частности, канадской детской благотворительной организации Earth Rangers и колумбийского ритейлера часов T S Q SA. Именно высокая репутация этих аккаунтов позволила объявлениям пройти автоматическую проверку Google без всяких тревог.
Полезная нагрузка — инфостилер MacSync. Он целенаправленно атакует Keychain (хранилище паролей macOS), сохраненные логины в браузерах и приватные ключи от криптокошельков. После сбора данных малвар пакует их в ZIP-архив и отправляет на сервер злоумышленников.
Ключевая проблема со стороны Anthropic — архитектурная. Публичные артефакты на claude.ai живут на основном домене компании, поэтому выглядят как официальный контент. Мелкая пометка «user-generated» в верхней части страницы незаметна на десктопе и совсем не отображается на мобильных устройствах. Это не ошибка конкретного эскейпа — это структурное доверие, которое злоумышленники сознательно использовали.
Чтобы не стать жертвой: не запускайте команды Terminal с любых сайтов, полученных через рекламные ссылки. Для установки пакетов используйте исключительно официальные менеджеры — brew, pip, npm — с их официальных страниц.
Apple и Intel заключили предварительное соглашение о производстве чипов: что известно
СпецпроектыRB24: що вміє застосунок РАДАБАНКу і чи варто його спробуватиТравневий суперрозпродаж Blackview на AliExpress: новітні смартфони з Android 15 та знижки до 40%
Источник: BleepingComputer
