Злоумышленники нашли способ обходить защиту, используя легитимный домен claude.ai для распространения вредоносного ПО. Жертвы, переходящие по рекламным ссылкам в поиске Google, попадают на реальный сервис Anthropic, где под видом официальных инструкций Apple им предлагают запустить опасные команды в терминале macOS, открывающие доступ к системным данным и паролям.
Кампанию, направленную на владельцев компьютеров Apple, раскрыл инженер по безопасности Берк Албайрак. Схема работает через функцию shared chats: хакеры публикуют вредоносные скрипты, имитирующие руководство по установке Claude Code, и маскируют их под официальные рекомендации Apple Support. Жертве достаточно скопировать команду в терминал, чтобы вирус начал скрытную работу в памяти устройства.Главная опасность заключается в методах обхода антивирусов. Скрипты загружаются в зашифрованном виде, не оставляя следов на жестком диске, а серверы каждый раз генерируют уникальный код для конкретного запроса. Анализ показал, что программа проверяет наличие русских раскладок клавиатуры: если они обнаружены, активность прекращается. В противном случае инфостилер семейства MacSync похищает данные из связки ключей, cookies и пароли браузеров.
Примечательно, что преступники используют настоящий сайт claude.ai, что усыпляет бдительность пользователей. Ранее подобные манипуляции фиксировались при атаках на аудиторию ChatGPT и Grok. Эксперты настоятельно рекомендуют избегать копирования команд в терминал из сомнительных источников и скачивать ПО исключительно с проверенных ресурсов разработчиков.
Комментарии (0)
Пока нет комментариев. Будьте первым!