Aa Aa Aa

Mac атакують через Google Ads і Claude AI: шкідливе ПЗ викрадає паролі та криптогаманці

Mac атакують через Google Ads і Claude AI: шкідливе ПЗ викрадає паролі та криптогаманці

Власники Mac зіткнулися з новою небезпечною схемою поширення шкідливого програмного забезпечення. Кіберзлочинці використовують рекламу Google та сторінки на платформі Claude AI, щоб змусити користувачів самостійно запускати заражені команди в Terminal.

Дослідники Moonlock Lab повідомили, що зловмисники застосовують техніку ClickFix, поєднуючи зламані облікові записи Google Ads і публічний контент на платформі Anthropic Claude AI.

Користувачів Mac приваблюють через рекламу Google

Атака починається зі звичайного пошукового запиту. Наприклад, користувач вводить у Google запит «brew macos», після чого серед результатів з’являється рекламне оголошення, яке веде на сторінку claude.ai.

На перший погляд усе виглядає безпечно: справжній домен, офіційний сервіс і оформлення у вигляді інструкції з налаштування інструментів для macOS. Саме на це й розраховують зловмисники.

За даними експертів, заражену сторінку встигли переглянути понад 15 600 разів до моменту її виявлення.

Шкідливий код приховали в звичайній команді

На сторінці розміщували покрокову інструкцію з командами для Terminal. Однак фінальна команда містила не звичайний код, а прихований рядок у форматі base64, який автоматично завантажував і запускав шкідливе програмне забезпечення.

Для просування небезпечної реклами хакери використовували зламані облікові записи Google Ads із високою репутацією. Серед постраждалих — канадська організація Earth Rangers та колумбійський ритейлер T S Q SA.

Саме довіра до таких рекламних акаунтів дозволила оголошенням пройти автоматичну перевірку Google без підозр.

Вірус MacSync краде паролі та криптогаманці

Основним шкідливим компонентом став інфостілер MacSync. Після зараження програма починає збирати конфіденційні дані користувача, зокрема:

  • дані з Keychain;
  • збережені паролі браузерів;
  • логіни користувача;
  • приватні ключі криптогаманців.

Після збору інформації шкідлива програма архівує викрадені дані в ZIP-файл і передає їх на сервери зловмисників.

Як захистити Mac від нової загрози

Експерти радять дотримуватися базових правил цифрової безпеки:

  • не запускати команди Terminal зі сторінок реклами;
  • завжди перевіряти адресу сайту перед копіюванням команд;
  • завантажувати програми лише з офіційних джерел;
  • використовувати перевірені менеджери пакетів, такі як Homebrew, pip і npm;
  • не вимикати системний захист macOS заради встановлення невідомого ПЗ.

Фахівці попереджають: подібні атаки стають дедалі переконливішими, оскільки кіберзлочинці активно використовують легітимні сервіси та довірені платформи для поширення шкідливого програмного забезпечення.

Источник: ilenta.com