Cibercriminosos estão usando o Google Ads e chats de IA Claude compartilhados publicamente para enganar usuários do macOS e fazerem que infectem seus dispositivos com malware disfarçado de instruções legítimas de instalação.
A campanha tem como alvo usuários que pesquisam no Google por termos como “Claude Mac download.” As vítimas recebem resultados de busca patrocinados que parecem levar à plataforma legítima Claude AI, mas que redirecionam os usuários para páginas de instalação maliciosas.
Pesquisadores descobriram que atacantes abusaram de chats públicos acessíveis Claude.ai compartilhados para hospedar instruções falsas de configuração disfarçadas de orientações oficiais do “Suporte da Apple.” Os chats maliciosos instruem os usuários a abrir o Terminal e colar comandos que baixam e executam malware silenciosamente em sistemas macOS.
Security researcher Berk Albayrak primeiro identificou a operação e alertou que múltiplos chats maliciosos Claude estavam sendo usados simultaneamente com diferentes infraestruturas e cargas úteis.
O ataque depende fortemente da manipulação de confiança. Em vez de direcionar as vítimas para domínios de phishing obviamente falsos, os atacantes abusam de serviços legítimos e plataformas confiáveis para fazer as instruções maliciosas parecerem autênticas. Pesquisadores dizem que isso aumenta significativamente a probabilidade de usuários tecnicamente experientes seguirem as instruções sem levantar suspeitas.
Pesquisadores da AdGuard já documentaram campanhas semelhantes envolvendo páginas maliciosas geradas por usuários hospedadas diretamente no domínio Claude.ai. Atacantes criaram guias de instalação falsos contendo comandos ocultos projetados para baixar malware de servidores controlados pelo atacante. Como as páginas existiam em um subdomínio legítimo Claude.ai, muitos usuários presumiram erroneamente que o conteúdo era oficialmente endossado.
Os comandos maliciosos frequentemente usam scripts shell ofuscados ou codificados em Base64 para ocultar seu verdadeiro comportamento. Uma vez executado, o payload pode baixar malware adicional, estabelecer persistência, roubar credenciais e dar aos atacantes acesso remoto a sistemas infectados.
Investigações anteriores da Bitdefender e da Sophos ligaram campanhas relacionadas a famílias de malwares, incluindo MacSync, Beagle, DonutLoader e backdoors associadas ao PlugX. Algumas variantes tinham como alvo especificamente desenvolvedores e profissionais de segurança, com o objetivo de roubar credenciais de navegador, chaves SSH, carteiras de criptomoedas, tokens do GitHub e credenciais de acesso empresarial.
Pesquisadores dizem que a campanha é particularmente perigosa porque se integra naturalmente aos fluxos de trabalho comuns dos desenvolvedores. Usuários que buscam ferramentas de codificação com IA ou gerenciadores de pacotes já esperam executar comandos de terminal como parte dos processos de instalação, tornando instruções maliciosas menos suspeitas do que as técnicas tradicionais de phishing.
O abuso do Google Ads também se tornou uma grande preocupação. Atacantes compram resultados de busca patrocinados usando palavras-chave confiáveis, permitindo que links maliciosos apareçam acima dos resultados legítimos. Em vários casos documentados, os anúncios exibiam URLs Claude.ai com aparência autêntica, mesmo que o conteúdo vinculado fosse material gerado pelos usuários controlado pelo atacante.
Pesquisadores alertam que usuários do macOS devem evitar copiar cegamente comandos de terminal de chats de IA, fóruns ou resultados de busca, mesmo quando as páginas parecem pertencer a domínios confiáveis. Especialistas em segurança também recomendam inspecionar cuidadosamente links patrocinados e evitar instruções de instalação que utilizam comandos shell codificados ou fortemente ofuscados.