Нова хвиля атак на користувачів Apple
Кіберзлочинці почали використовувати популярність інструментів штучного інтелекту від Anthropic для розповсюдження шкідливого програмного забезпечення. Цього разу під удар потрапили розробники та технічні фахівці, які шукають Claude Code – інтерфейс командного рядка для взаємодії з ШІ. Зловмисники орендують рекламні місця в Google Ads, щоб виводити свої фішингові ресурси на перші позиції пошукової видачі.
Механіка атаки ClickFix
Метод ClickFix не є новим, проте його адаптація під екосистему macOS стає дедалі витонченішою. Користувач, намагаючись завантажити Claude Code, потрапляє на сайт, який імітує помилку відображення контенту або збій інсталятора. Для «вирішення» проблеми ресурс пропонує скопіювати спеціальний скрипт і вставити його безпосередньо в Термінал macOS. Це критична точка зламу, оскільки виконання стороннього коду в консолі дає хакерам повний доступ до системи без необхідності завантаження традиційних файлів .dmg або .pkg.
Як працює шкідливий сценарій
Команда, яку копіює користувач, зазвичай виглядає як легітимний запит до репозиторію або системна утиліта. Після запуску вона виконує наступні дії:
- Встановлює з’єднання з віддаленим сервером управління (C2).
- Сканує Keychain (Зв’язку ключів) на наявність збережених паролів.
- Викрадає сесійні токени популярних браузерів (Chrome, Safari, Firefox).
- Збирає системні логи та дані про апаратне забезпечення.
Інфостілер MacSync та його можливості
Дослідники безпеки виявили, що основною метою поточної кампанії є розповсюдження стилера під назвою MacSync. Це спеціалізоване ПЗ для macOS, яке націлене на викрадення криптогаманців, паролів від корпоративних сервісів та даних двофакторної автентифікації. Завдяки використанню Google Ads як вектора доставки, хакери обходять стандартні фільтри спаму та втираються в довіру до користувачів, які звикли довіряти верхнім результатам пошуку.
Технічні індикатори компрометації
Якщо ви випадково виконали підозрілу команду в терміналі, зверніть увагу на наступні ознаки:
- Поява невідомих процесів у Моніторингу активності, що споживають мережевий трафік.
- Запити на доступ до конфіденційних папок (Documents, Desktop) від невідомих утиліт.
- Зміна налаштувань DNS або встановлення нових профілів конфігурації в системних параметрах.
Рекомендації щодо захисту
Для мінімізації ризиків експерти радять ігнорувати рекламні блоки в пошукових системах при завантаженні професійного софту. Завжди перевіряйте URL-адресу сайту (вона має належати anthropic.com) та використовуйте менеджери пакетів лише з офіційною документацією. У разі підозри на зараження необхідно негайно змінити всі паролі, що зберігалися в браузері та Keychain, а також скинути активні сесії на критично важливих ресурсах.
0 Коментарів