Trend Micro описала малвертайзинговую кампанию, которая шла с 8 апреля по 14 июня 2026 года. Малвертайзинг — это распространение вредоносных страниц через рекламные объявления. В этом случае операторы покупали рекламу по запросам, связанным с ИИ-инструментами для разработки.
Целью были пользователи, которые искали Claude, Claude Code, Claude Desktop, ChatGPT Codex, Perplexity, Cursor IDE, JetBrains и похожие инструменты. Исследователи насчитали 106 уникальных вредоносных хостов и шесть волн кампании. Большая часть трафика — 82,8% — пришлась на темы, связанные с современными ИИ-инструментами для разработки.
Сначала злоумышленники размещали поддельные страницы на GitLab Pages. Это давало им домены вида *.gitlab.io, которые выглядят привычнее и вызывают меньше подозрений, чем свежезарегистрированные случайные адреса. Затем кампания изменилась: операторы начали использовать общие ссылки claude[.]ai.
Злоумышленники создавали «общие чаты», оформленные как инструкции от Apple Support или Corda Team. Внутри были шаги для «решения проблемы», «очистки macOS» или «запуска инструмента». Пользователю предлагали открыть Terminal и вставить команду.
Это вариант ClickFix — социальной инженерии, где человеку показывают искусственную проблему и дают «команду для исправления». Жертва сама выполняет вредоносную инструкцию, потому что думает, что завершает установку, чинит ошибку или следует совету поддержки.
Первый этап — рекламное объявление в Google. Пользователь искал ИИ-инструмент или утилиту для macOS и переходил по рекламной ссылке.
В ранних волнах ссылка вела на поддельные страницы GitLab Pages. Позже объявления начали отправлять пользователей прямо на общие ссылки claude.ai. Страница выглядела более убедительно, потому что находилась на реальном домене ИИ-сервиса.
Дальше поддельный чат давал инструкцию открыть терминал и вставить команду. Обычно это был curl, соединенный с декодированием base64.
После запуска команда обращалась к удаленному адресу и загружала дополнительный zsh-скрипт. Этот скрипт проверял среду и принимал решение, запускать ли основной вредоносный компонент.
Вредоносный скрипт проверял, включена ли на macOS русская раскладка или соответствующий метод ввода. Если такой признак находился, скрипт записывал результат и не переходил к основной цели. Если проверка не срабатывала, загрузчик скачивал и запускал MacSync.
MacSync собирал учетные данные браузеров, session cookies, SSH-ключи и файлы криптовалютных кошельков. Основной описанный случай нацелен на macOS и использует терминальные команды, а не Windows LNK. Вместо классического RAT в центре анализа находится MacSync — инфостилер, то есть вредоносная программа для кражи данных.
Trend Micro отмечает, что после уведомления Anthropic расследовала инцидент, заблокировала связанные аккаунты, отключила вредоносные общие чаты и работает над дополнительными механизмами защиты функции общего доступа.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
