I cybercriminali stanno usando Google Ads e le chat di Claude AI condivise pubblicamente per ingannare gli utenti macOS facendogli infettare i loro dispositivi con malware mascherato da istruzioni di installazione legittime.
La campagna si rivolge agli utenti che cercano su Google termini come “Claude Mac download.” Alle vittime vengono mostrati risultati di ricerca sponsorizzati che sembrano portare alla legittima piattaforma di IA Claude, ma invece reindirizzano gli utenti a pagine di installazione malevole.
I ricercatori hanno scoperto che gli aggressori abusavano di chat pubblicamente accessibili Claude.ai condivise per ospitare istruzioni di configurazione false che si spacciavano da linee guida ufficiali del “Supporto Apple”. Le chat dannose istruiscono gli utenti ad aprire il Terminale e incollare comandi che scaricano e esegueno malware silenziosamente sui sistemi macOS.
Security researcher Berk Albayrak per primo identificò l’operazione e avvertiva che più chat Claude malevole venivano utilizzate simultaneamente con infrastrutture e payload diversi.
L’attacco si basa fortemente sulla manipolazione della fiducia. Invece di indirizzare le vittime verso domini di phishing evidentemente falsi, gli attaccanti abusano di servizi legittimi e piattaforme affidabili per far apparire le istruzioni malevole autentiche. I ricercatori affermano che questo aumenta significativamente la probabilità che gli utenti tecnicamente esperti seguano le istruzioni senza sospetti.
I ricercatori di AdGuard avevano precedentemente documentato campagne simili che coinvolgevano pagine generate da utenti dannose ospitate direttamente sul dominio Claude.ai. Gli attaccanti hanno creato false guide di installazione contenenti comandi nascosti progettati per scaricare malware da server controllati dagli attaccanti. Poiché le pagine esistevano su un sottodominio Claude.ai legittimo, molti utenti hanno erroneamente pensato che il contenuto fosse ufficialmente approvato.
I comandi dannosi spesso utilizzano script shell offuscati o codificati in Base64 per nascondere il loro vero comportamento. Una volta eseguito, il payload può scaricare ulteriori malware, stabilire la persistenza, rubare credenziali e dare agli attaccanti accesso remoto ai sistemi infetti.
Indagini precedenti di Bitdefender e Sophos hanno collegato campagne correlate a famiglie di malware tra cui MacSync, Beagle, DonutLoader e backdoor associate a PlugX. Alcune varianti miravano specificamente a sviluppatori e professionisti della sicurezza, con l’obiettivo di rubare credenziali del browser, chiavi SSH, portafogli di criptovalute, token GitHub e credenziali di accesso aziendale.
I ricercatori affermano che la campagna è particolarmente pericolosa perché si integra naturalmente nei processi di lavoro comuni degli sviluppatori. Gli utenti che cercano strumenti di codifica AI o package manager si aspettano già di eseguire comandi terminali come parte dei processi di installazione, rendendo le istruzioni malevole meno sospette rispetto alle tecniche tradizionali di phishing.
Anche l’abuso di Google Ads è diventato una preoccupazione importante. Gli attaccanti acquistano risultati di ricerca sponsorizzati utilizzando parole chiave affidabili, permettendo a link dannosi di comparire sopra i risultati di ricerca legittimi. In diversi casi documentati, gli annunci mostravano URL Claude.ai autentici anche se il contenuto collegato era materiale controllato dagli attaccanti e generato dagli utenti.
I ricercatori avvertono che gli utenti macOS dovrebbero evitare di copiare ciecamente i comandi del terminale da chat AI, forum o risultati di ricerca, anche quando le pagine sembrano appartenere a domini affidabili. Gli esperti di sicurezza raccomandano inoltre di ispezionare attentamente i link sponsorizzati ed evitare istruzioni di installazione che utilizzano comandi shell codificati o fortemente oscurati.