Mac атакуют через Google Ads и Claude AI: вирус крадет пароли и криптокошельки

Исследователи Moonlock Lab сообщили, что злоумышленники применяют технику ClickFix, комбинируя взломанные аккаунты Google Ads и публичный контент на платформе Anthropic Claude AI.

Схема начинается с обычного поискового запроса. Например, пользователь вводит в Google фразу «brew macos», после чего среди результатов появляется рекламная ссылка на страницу claude.ai.

На первый взгляд все выглядит безопасно: сайт настоящий, домен официальный, а сама страница оформлена как инструкция по установке инструмента для macOS. Именно на это и делают ставку злоумышленники.

По данным экспертов, зараженную страницу успели просмотреть более 15 600 раз до момента ее обнаружения.

На странице публиковалась пошаговая инструкция с командами для Terminal. Однако финальная команда содержала не обычный код, а скрытую base64-строку, которая автоматически загружала и запускала вредоносное ПО.

Для продвижения опасной рекламы хакеры использовали взломанные аккаунты Google Ads с высокой репутацией. Среди пострадавших оказались канадская организация Earth Rangers и колумбийский ритейлер T S Q SA.

Именно доверие к этим рекламным аккаунтам позволило объявлениям пройти автоматическую проверку Google без подозрений.

Основной вредоносной нагрузкой оказался инфостилер MacSync. После заражения программа начинает искать:

После сбора информации вирус архивирует украденные данные в ZIP-файл и отправляет их на сервер злоумышленников.

Эксперты рекомендуют соблюдать несколько простых правил:

Специалисты предупреждают, что подобные атаки становятся все более убедительными, поскольку злоумышленники все чаще используют легитимные сервисы и доверенные платформы для распространения вредоносного ПО.

bleepingcomputer