Новая волна атак на пользователей Apple
Киберпреступники начали использовать популярность инструментов искусственного интеллекта от Anthropic для распространения вредоносного ПО. В этот раз под удар попали разработчики и технические специалисты, ищущие Claude Code — интерфейс командной строки для взаимодействия с ИИ. Злоумышленники арендуют рекламные места в Google Ads, чтобы выводить свои фишинговые ресурсы на первые позиции поисковой выдачи.
Механика атаки ClickFix
Метод ClickFix не является новым, однако его адаптация под экосистему macOS становится все более изощренной. Пользователь, пытаясь скачать Claude Code, попадает на сайт, который имитирует ошибку отображения контента или сбой инсталлятора. Для «решения» проблемы ресурс предлагает скопировать специальный скрипт и вставить его непосредственно в Терминал macOS. Это критическая точка взлома, так как выполнение стороннего кода в консоли дает хакерам полный доступ к системе без необходимости загрузки традиционных файлов .dmg или .pkg.
Как работает вредоносный сценарий
Команда, которую копирует пользователь, обычно выглядит как легитимный запрос к репозиторию или системная утилита. После запуска она выполняет следующие действия:
- Устанавливает соединение с удаленным сервером управления (C2).
- Сканирует Keychain (Связку ключей) на наличие сохраненных паролей.
- Похищает сессионные токены популярных браузеров (Chrome, Safari, Firefox).
- Собирает системные логи и данные об аппаратном обеспечении.
Инфостилер MacSync и его возможности
Исследователи безопасности обнаружили, что основной целью текущей кампании является распространение стилера под названием MacSync. Это специализированное ПО для macOS, нацеленное на кражу криптокошельков, паролей от корпоративных сервисов и данных двухфакторной аутентификации. Благодаря использованию Google Ads в качестве вектора доставки, хакеры обходят стандартные фильтры спама и втираются в доверие к пользователям, привыкшим доверять верхним результатам поиска.
Технические индикаторы компрометации
Если вы случайно выполнили подозрительную команду в терминале, обратите внимание на следующие признаки:
- Появление неизвестных процессов в Мониторинге активности, потребляющих сетевой трафик.
- Запросы на доступ к конфиденциальным папкам (Documents, Desktop) от неизвестных утилит.
- Изменение настроек DNS или установка новых профилей конфигурации в системных параметрах.
Рекомендации по защите
Для минимизации рисков эксперты советуют игнорировать рекламные блоки в поисковых системах при загрузке профессионального софта. Всегда проверяйте URL-адрес сайта (он должен принадлежать anthropic.com) и используйте менеджеры пакетов только с официальной документацией. В случае подозрения на заражение необходимо немедленно сменить все пароли, хранившиеся в браузере и Keychain, а также сбросить активные сессии на критически важных ресурсах.
0 Comments