Rețeaua de atacuri cibernetice a evoluat semnificativ, folosind platforme legitime pentru distribuirea de malware, într-un context în care interesul pentru inteligența artificială crește rapid. Cea mai recentă campanie de malvertising vizează utilizatorii de Mac căutând aplicații legate de Claude.ai, prezentând riscuri reale de infectare și furt de date.
Modalitatea de operare a atacului asupra utilizatorilor de Mac
Un chat partajat pe Claude.ai promite un ghid oficial pentru instalarea „Claude Code on Mac”, fiind detectat de cercetătorii de securitate. Pagina nu se află pe un domeniu clonat, ci pe domeniul real Claude.ai, utilizând funcția de shared chats, ceea ce îi conferă un nivel de credibilitate crescut.
Instrucțiunile din chat solicită deschiderea Terminalului și introducerea unei comenzi codificate. Deși aparent tehnic, acestea sunt comenzi trapă utilizatorilor, ce descarcă și execută un script controlat de infrastructura celor rău intenționați. Scriptul rulează în memorie, evitând astfel detectarea standard și poate fi adaptat pentru a livra payload-uri diferite la fiecare acces, metoda cunoscută ca livrare polimorfă.
Doi cercetători de la BleepingComputer au identificat varianta inițială și o a doua versiune a atacului, ambele bazate pe același principiu. În ambele cazuri, utilizatorii sunt păcăliți prin reclame Google credibile, iar domeniul Claude.ai este folosit pentru a crea impresia de legitimitate.
Ce face malware-ul după infectare
Una dintre variantele detectate descarcă un script ce rulează direct în memorie, reducând șansele de detecție. În plus, serverele atacatorilor pot livra versiuni diferite ale aceluiași payload pentru a evita detectarea prin semnături fixe.
Malware-ul verifică anumite caracteristici ale sistemului, inclusiv regiunea tastaturii. Dacă detectează că sistemul este configurat pentru Rusia sau alte state CSI, execuția se oprește. În caz contrar, scriptul colectează informații precum adresa IP, numele dispozitivului, versiunea sistemului de operare și localizarea tastaturii, transmitând datele atacatorilor.
O altă variantă a malware-ului acționează ca un infostealer, identificat drept MacSync, capabil să extragă credențiale din browser, cookie-uri și informații din macOS Keychain. Acest lucru poate duce la compromiterea conturilor și expunerea datelor sensibile de pe Mac.
Un detaliu esențial în modularitatea acțiunii este utilizarea comenzilor `osascript`, motorul de scripting integrat în macOS, ce permite execuția de cod fără a fi nevoie de instalarea unui soft suplimentar. Astfel, atacatorii pot folosi resursele deja prezente în sistem pentru a efectua operațiuni malware discret.
De ce campania are un succes aparent surprinzător
Campania exploatează încrederea în trei elemente: rezultatele sponsorizate Google, domeniul Claude.ai și instrucțiunile tehnice din chat-uri partajate. Utilizatorii percep aceste elemente ca fiind legitime, fiind astfel induceți în eroare.
Diferența față de campaniile anterioare constă în faptul că atacatorii nu mimează site-uri false, ci utilizează domeniul real al platformei pentru a insera conținut periculos. În felul acesta, riscul de a fi depistați crește și dificultatea de identificare a amenințării devine mai mare.
Campaniile de acest tip evidențiază vulnerabilitatea utilizatorilor față de campanii de social engineering și riscurile utilizării supra-umbrele legitime pentru distribuirea de malware. Efectul combinat al încrederii în platforme de notorietate și a instrucțiunilor tehnice aparent sigure face ca majoritatea victimelor să fie în pericol de compromitere fără să-și dea seama.