⚡ Терміново
UkrPulse
UkrPulse
Фінанси

MacSynk тратить зло, магично.

· 2 хв читання
MacSynk тратить зло, магично.
MacSync malware ClickFix: хакери через Google Ads і Claude AI атакують Mac-користувачів / Bleeping Computer...

MacSync malware ClickFix: хакери через Google Ads і Claude AI атакують Mac-користувачів

Дослідники Moonlock Lab виявили нову хакерську кампанію, спрямовану на користувачів macOS. Зловмисники використовують техніку ClickFix, поєднуючи зламані акаунти Google Ads із публічним контентом на платформі Claude AI. Мета атаки — змусити жертв самостійно запустити шкідливий код на своїх пристроях.

Як працює схема

Користувач вводить у пошуку Google звичайний запит, наприклад «brew macos». У результатах пошуку з'являється рекламне посилання, яке веде на сторінку claude.ai. Ця сторінка є легітимним публічним артефактом, проте зловмисники підмінили її вміст.

На сторінці розміщена покрокова інструкція зі встановлення програмного інструменту. Фінальна команда, яку пропонується виконати в Terminal, містить не справжній код, а base64-кодований рядок. Цей рядок завантажує та запускає шкідливе програмне забезпечення. До моменту виявлення артефакт переглянули понад 15 600 разів.

Як реклама проходила перевірку

Для розміщення реклами хакери зламали перевірені акаунти Google Ads. Серед них — акаунт канадської дитячої благодійної організації Earth Rangers та колумбійського ритейлера годинників T S Q SA. Висока репутація цих облікових записів дозволила оголошенням безперешкодно пройти автоматичну модерацію Google.

Що краде MacSync

Корисне навантаження атаки — інфостілер MacSync. Шкідливе програмне забезпечення цілеспрямовано атакує:

  • Keychain — системне сховище паролів macOS;
  • Збережені логіни в браузерах;
  • Приватні ключі від криптовалютних гаманців.

Після збору даних малвар пакує їх у ZIP-архів і надсилає на сервер зловмисників.

Архітектурна проблема Anthropic

Головна вразливість криється в архітектурі платформи. Публічні артефакти на claude.ai розміщуються на основному домені компанії, тому візуально виглядають як офіційний контент. Дрібна позначка «user-generated» у верхній частині сторінки практично непомітна на десктопних пристроях і зовсім не відображається на мобільних.

Це не окрема помилка — це структурна особливість, яку зловмисники свідомо використали для отримання довіри користувачів.

Як захиститися

Щоб не стати жертвою подібних атак:

  • Не запускайте команди Terminal, отримані через рекламні посилання;
  • Для встановлення програмних пакетів використовуйте виключно офіційні джерела — brew, pip, npm — виключно з їхніх офіційних веб-сторінок.
Джерело: itc.ua
#хакери. #macOS #MacSync malware #ClickFix #Google Ads #Claude AI #шкідливий код

Поділитись:

Facebook Telegram Viber Twitter/X

Читайте також