Ataques estão explorando Google Ads e chats compartilhados legítimos do Claude.ai em uma campanha ativa de malvertising.
Usuários que pesquisam por “Claude mac download” podem encontrar resultados patrocinados que exibem o site claude.ai como destino, mas levam a instruções que instalam malware no Mac.
A campanha foi identificada por Berk Albayrak, engenheiro de segurança do Trendyol Group, que compartilhou suas descobertas no LinkedIn.
Albayrak encontrou um chat compartilhado do Claude.ai que se apresenta como um guia oficial de instalação do “Claude Code on Mac”, atribuído ao “Apple Support”.
O chat orienta o usuário a abrir o Terminal e colar um comando que baixa e executa malware no Mac sem que isso fique evidente.
Ao verificar as descobertas de Albayrak, o BleepingComputer chegou a um segundo chat compartilhado do Claude, que executa o mesmo ataque por uma infraestrutura totalmente separada.
Os dois chats seguem a mesma estrutura e a mesma abordagem de engenharia social, mas usam domínios e payloads diferentes.
Ambos estavam publicamente acessíveis no momento da apuração.
As instruções em base64 exibidas no chat compartilhado do Claude fazem o download de um shell script codificado a partir de domínios como:
Na variante observada por Albayrak [VirusTotal]: hxxp://customroofingcontractors[.]com/curl/b42a0ed9d1ecb72e42d6034502c304845d98805481d99cea4e259359f9ab206e
Na variante vista pelo BleepingComputer [VirusTotal]: hxxps://bernasibutuwqu2[.]com/debug/loader.sh?build=a39427f9d5bfda11277f1a58c89b7c2d
O “loader.sh”, servido pelo segundo link acima, é outro conjunto de instruções em shell comprimidas com Gunzip.
Esse shell script comprimido é executado inteiramente na memória, deixando poucos vestígios óbvios no disco.
A variante identificada pelo BleepingComputer começa verificando se a máquina tem fontes de entrada de teclado configuradas para russo ou para a região da CEI.
Se tiver, o script encerra a execução sem fazer nada, enviando apenas um ping discreto de status cis_blocked ao servidor do atacante.
Somente as máquinas que passam nessa checagem recebem a próxima etapa.
Antes de seguir adiante, o script também coleta o endereço IP externo da vítima, o hostname, a versão do sistema operacional e o idioma do teclado, enviando tudo de volta ao atacante.
Esse tipo de perfilamento da vítima antes da entrega do payload sugere que os operadores estão sendo seletivos quanto aos alvos.
Em seguida, o script baixa um payload de segunda etapa e o executa por meio do osascript, o mecanismo de scripts embutido do macOS.
Isso dá ao atacante execução remota de código sem precisar soltar um aplicativo ou binário tradicional.
A variante identificada por Albayrak, porém, parece pular as etapas de perfilamento.
Ela vai direto para a execução.
Ela coleta credenciais de navegadores, cookies e conteúdos do Keychain do macOS, empacota esses dados e os exfiltra para o servidor do atacante.
Albayrak identificou isso como uma variante do infostealer MacSync para macOS.
O domínio briskinternet[.]com, mostrado na variante identificada por Albayrak, parecia estar fora do ar no momento da apuração.
O malvertising se tornou um mecanismo recorrente de distribuição de malware.
O BleepingComputer já relatou campanhas semelhantes mirando usuários que pesquisavam software como GIMP, nas quais um anúncio convincente do Google exibia um domínio aparentemente legítimo, mas levava os visitantes a um site de phishing visualmente parecido.
Esta campanha inverte a lógica, porque não há um domínio falso fácil de identificar.
Os dois anúncios do Google vistos nesse caso apontam para o domínio real da Anthropic, claude.ai, já que os atacantes estão hospedando suas instruções maliciosas dentro do próprio recurso de chats compartilhados do Claude.
A URL de destino no anúncio é genuína.
Ainda assim, esta não é a primeira vez que atacantes abusam de chats compartilhados em plataformas de IA dessa forma.
Em dezembro, o BleepingComputer relatou uma campanha semelhante contra usuários do ChatGPT e do Grok.
Os usuários devem acessar diretamente o claude.ai para baixar o aplicativo nativo do Claude, em vez de clicar em resultados patrocinados.
O Claude Code CLI legítimo está disponível na documentação oficial da Anthropic e não exige que comandos sejam colados a partir de uma interface de chat.
Como boa prática, qualquer instrução que peça para colar comandos no Terminal deve ser tratada com cautela, independentemente de onde pareça ter vindo.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...