Злоумышленники начали использовать Google Ads и легитимные публичные чаты Claude.ai для атаки на пользователей macOS. Человек ищет в Google что-то вроде Claude mac download или Claude Code on Mac, видит рекламную ссылку, визуально связанную с настоящим доменом Claude.ai, открывает общий чат Claude и получает «инструкцию по установке». Внутри — команда для терминала, которая запускает загрузку вредоноса. Так атакующие используют доверенный домен и привычный формат AI-чата как часть социальной инженерии.
Кампанию заметил инженер по безопасности Berk Albayrak. В схеме используются спонсируемые результаты поиска в Google: рекламное объявление показывается пользователям, которые ищут Claude для Mac. Ссылка выглядит убедительно, потому что в цепочке фигурирует настоящий домен claude.ai, а не грубая копия сайта с похожим названием.
После клика пользователь попадает не на официальный загрузочный раздел, а на публичный чат в Claude. Такой чат выглядит как обычная страница Claude с уже готовым диалогом и инструкциями. Злоумышленники оформляют его как чат с помощью по установке Claude Code на macOS, имитируя тон службы поддержки или технического помощника.
Главный трюк — в доверии к интерфейсу. Пользователь видит не странный архив на файлообменнике, а страницу внутри Claude.ai. Это снижает настороженность: кажется, что инструкция пришла из самого ИИ-сервиса, а не от мошенников.
Сценарий строится вокруг старого, но живучего приёма ClickFix. Пользователю показывают якобы техническую проблему или ручной способ установки и просят скопировать команду в терминал. После запуска команда скачивает и выполняет вредоносную нагрузку.
Для macOS это особенно опасный формат. Пользователи привыкли, что многие developer-инструменты действительно устанавливаются через терминал: Homebrew, CLI-клиенты, SDK, пакеты для Python, Node.js и облачных сервисов. На этом и сыграли атакующие. Команда выглядит как обычная инструкция для разработчика, но фактически запускает вредонос.
Публикации по этой кампании называют macOS-инфостилер. Ряд источников указывает на MacSync — вредоносное ПО, которое крадёт чувствительные данные с Mac. Такие стилеры обычно охотятся за браузерными паролями, cookies, криптокошельками, токенами, данными из Keychain и файлами, которые могут дать доступ к аккаунтам или инфраструктуре.
Microsoft ранее описывала похожий класс атак на macOS: фальшивые сайты, вредоносная реклама и инструкции в стиле «скопируйте команду в терминал». Цель таких кампаний — вытащить пароли браузера, кошельки, облачные ключи, developer-токены и другие данные, которые можно быстро продать или использовать для дальнейшего взлома.
Поисковая реклама остаётся удобным каналом для распространения вредоносов. Пользователь ищет популярный инструмент, кликает по первому результату и получает вредоносную цепочку вместо нормальной загрузки. В последние месяцы подобные кампании регулярно использовали имена ИИ-инструментов, утилит для разработчиков и популярных приложений.
Bitdefender ещё в марте описывал похожую кампанию с фейковым Claude Code: рекламное объявление вело на сайт, который копировал документацию, а Windows- и macOS-пользователям показывали разные вредоносные инструкции. Для macOS использовались обфусцированные shell-команды, которые загружали Mach-O backdoor.
Эта тактика хорошо масштабируется. Рекламу можно быстро поменять, домены — заменить, payload — обновить. Пользователь при этом видит знакомое имя продукта и срочную «инструкцию по установке».
Главное правило: не вставлять команды в терминал из рекламных ссылок, ИИ-чатов, форумов и неизвестных инструкций, даже если страница открыта на знакомом домене. Для установки Claude Code и других инструментов нужно идти через официальную документацию Anthropic, а не через спонсируемые результаты поиска и публичные чаты.
Безопаснее открывать сайт вручную, проверять URL, искать раздел документации через официальный сайт продукта и сверять команды с несколькими источниками. Если инструкция просит выполнить curl | sh, bash, zsh, osascript, chmod +x, запуск неизвестного бинарника или скачивание файла из непонятного домена — лучше остановиться.
Пользователям, которые уже запускали такую команду, стоит считать устройство потенциально скомпрометированным: отключить сеть, сохранить данные для анализа, проверить автозагрузку, launch agents, профили, неизвестные процессы, браузерные расширения, доступ к Keychain, токены разработчика, SSH-ключи и криптокошельки. Пароли и токены лучше менять с чистого устройства.
Командам безопасности стоит отдельно мониторить macOS-цепочки в стиле ClickFix. Это не классический фишинг с вложением, а ручное выполнение вредоносной команды самим пользователем. Детект должен смотреть на запуск shell-команд, которые скачивают и сразу исполняют код, подозрительные curl, osascript, новые LaunchAgent/LaunchDaemon, неизвестные Mach-O-файлы и обращения к нетипичным доменам после клика по рекламе.
Для разработчиков полезны ограничения на хранение секретов в открытом виде. .env-файлы, SSH-ключи без passphrase, долгоживущие GitHub-токены и облачные ключи на ноутбуке делают любой инфостилер гораздо опаснее. Чем меньше постоянных секретов лежит на рабочей машине, тем меньше ущерб от одного ошибочного запуска команды.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
