Los ciberdelincuentes están utilizando Google Ads y chats de IA de Claude compartidos públicamente para engañar a los usuarios de macOS y que infecten sus dispositivos con malware disfrazado de instrucciones legítimas de instalación.
La campaña se dirige a usuarios que buscan en Google términos como “Claude mac download.” A las víctimas se les muestran resultados de búsqueda patrocinados que parecen conducir a la legítima plataforma de IA Claude, pero en su lugar redirigen a los usuarios a páginas de instalación maliciosas.
Los investigadores descubrieron que los atacantes abusaron de los chats públicos accesibles Claude.ai compartidos para alojar instrucciones de configuración falsas disfrazadas de directrices oficiales del “Soporte de Apple”. Los chats maliciosos indican a los usuarios que abran el Terminal y peguen comandos que descargan y ejecutan malware en silencio en sistemas macOS.
Security researcher Berk Albayrak primero identificó la operación y advirtió que se usaban múltiples chats maliciosos de Claude simultáneamente con diferentes infraestructuras y cargas útiles.
El ataque se basa en gran medida en la manipulación de la confianza. En lugar de dirigir a las víctimas a dominios de phishing evidentemente falsos, los atacantes abusan de servicios legítimos y plataformas de confianza para que las instrucciones maliciosas parezcan auténticas. Los investigadores afirman que esto aumenta significativamente la probabilidad de que usuarios con conocimientos técnicos sigan las instrucciones sin sospechar.
Investigadores de AdGuard documentaron anteriormente campañas similares que involucraban páginas maliciosas generadas por usuarios alojadas directamente en el dominio Claude.ai. Los atacantes crearon guías de instalación falsas que contenían comandos ocultos diseñados para descargar malware desde servidores controlados por el atacante. Como las páginas existían en un subdominio legítimo de Claude.ai, muchos usuarios asumieron erróneamente que el contenido estaba oficialmente respaldado.
Los comandos maliciosos a menudo utilizan scripts de shell ofuscados o codificados en Base64 para ocultar su verdadero comportamiento. Una vez ejecutado, la carga puede descargar malware adicional, establecer persistencia, robar credenciales y dar a los atacantes acceso remoto a sistemas infectados.
Investigaciones anteriores de Bitdefender y Sophos vincularon campañas relacionadas con familias de malware como MacSync, Beagle, DonutLoader y puertas traseras asociadas a PlugX. Algunas variantes se dirigieron específicamente a desarrolladores y profesionales de la seguridad, con el objetivo de robar credenciales de navegador, claves SSH, monederos de criptomonedas, tokens de GitHub y credenciales de acceso empresarial.
Los investigadores afirman que la campaña es especialmente peligrosa porque se integra de forma natural en los flujos de trabajo habituales de los desarrolladores. Los usuarios que buscan herramientas de codificación con IA o gestores de paquetes ya esperan ejecutar comandos de terminal como parte de los procesos de instalación, haciendo que las instrucciones maliciosas sean menos sospechosas que las técnicas tradicionales de phishing.
El abuso de Google Ads también se ha convertido en una preocupación importante. Los atacantes compran resultados de búsqueda patrocinados usando palabras clave de confianza, permitiendo que enlaces maliciosos aparezcan por encima de resultados legítimos. En varios casos documentados, los anuncios mostraban URLs de Claude.ai de aspecto auténtico aunque el contenido enlazado fuera contenido controlado por el atacante y generado por usuarios.
Los investigadores advierten que los usuarios de macOS deberían evitar copiar ciegamente comandos de terminal de chats, foros o resultados de búsqueda con IA, incluso cuando las páginas parezcan pertenecer a dominios de confianza. Los expertos en seguridad también recomiendan inspeccionar cuidadosamente los enlaces patrocinados y evitar instrucciones de instalación que usen comandos de shell codificados o muy ofuscados.