Cybercriminelen gebruiken Google Ads en openbaar gedeelde Claude AI-chats om macOS-gebruikers te misleiden zodat ze hun apparaten infecteren met malware die zich voordoet als legitieme installatie-instructies.
De campagne richt zich op gebruikers die op Google zoeken naar termen zoals “Claude mac download.” Slachtoffers krijgen gesponsorde zoekresultaten te zien die lijken te leiden naar het legitieme Claude AI-platform, maar in plaats daarvan gebruikers doorleiden naar kwaadaardige installatiepagina’s.
Onderzoekers ontdekten dat aanvallers publiek toegankelijke Claude.ai gedeelde chats misbruikten om valse installatie-instructies te hosten die zich voordeden als officiële richtlijnen van “Apple Support.” De kwaadaardige chats instrueren gebruikers om Terminal te openen en commando’s te plakken die stilletjes malware downloaden en uitvoeren op macOS-systemen.
Security researcher Berk Albayrak eerst de operatie identificeerde en waarschuwde dat meerdere kwaadaardige Claude-chats gelijktijdig werden gebruikt met verschillende infrastructuur en payloads.
De aanval is sterk afhankelijk van vertrouwensmanipulatie. In plaats van slachtoffers naar duidelijk valse phishingdomeinen te leiden, misbruiken aanvallers legitieme diensten en betrouwbare platforms om de kwaadaardige instructies authentiek te laten lijken. Onderzoekers zeggen dat dit de kans aanzienlijk vergroot dat technisch onderlegde gebruikers de instructies zonder argwaan opvolgen.
AdGuard-onderzoekers documenteerden eerder soortgelijke campagnes met kwaadaardige door gebruikers gegenereerde pagina’s die direct op het Claude.ai-domein werden gehost. Aanvallers maakten nep-installatiehandleidingen met verborgen commando’s die bedoeld waren om malware te downloaden van door aanvallers gecontroleerde servers. Omdat de pagina’s op een legitiem Claude.ai subdomein stonden, gingen veel gebruikers ten onrechte ervan uit dat de inhoud officieel werd goedgekeurd.
De kwaadaardige commando’s gebruiken vaak verborgen of Base64-gecodeerde shell-scripts om hun ware gedrag te verbergen. Eenmaal uitgevoerd kan de payload extra malware downloaden, persistentie opbouwen, inloggegevens stelen en aanvallers op afstand toegang geven tot geïnfecteerde systemen.
Eerdere onderzoeken door Bitdefender en Sophos koppelden gerelateerde campagnes aan malwarefamilies, waaronder MacSync, Beagle, DonutLoader en PlugX-gerelateerde achterdeurtjes. Sommige varianten richtten zich specifiek op ontwikkelaars en beveiligingsprofessionals, met als doel browserinloggegevens, SSH-sleutels, cryptocurrency-wallets, GitHub-tokens en bedrijfstoegangsgegevens te stelen.
Onderzoekers zeggen dat de campagne bijzonder gevaarlijk is omdat deze op natuurlijke wijze opgaat in de gangbare workflows van ontwikkelaars. Gebruikers die op zoek zijn naar AI-coderingstools of pakketbeheerders verwachten al terminalcommando’s uit te voeren als onderdeel van installatieprocessen, waardoor kwaadaardige instructies minder verdacht zijn dan traditionele phishingtechnieken.
Het misbruik van Google Ads is ook een groot probleem geworden. Aanvallers kopen gesponsorde zoekresultaten met vertrouwde zoekwoorden, waardoor kwaadaardige links boven legitieme zoekresultaten kunnen verschijnen. In verschillende gedocumenteerde gevallen toonden de advertenties authentiek ogende Claude.ai URL’s, ook al was de gelinkte inhoud door aanvallers gecontroleerd door gebruikers gegenereerd materiaal.
Onderzoekers waarschuwen dat macOS-gebruikers moeten vermijden om blindelings terminalcommando’s te kopiëren uit AI-chats, forums of zoekresultaten, zelfs als de pagina’s lijken te behoren tot vertrouwde domeinen. Beveiligingsexperts raden ook aan om gesponsorde links zorgvuldig te inspecteren en installatie-instructies te vermijden die gecodeerde of sterk verborgen shell-commando’s gebruiken.