Pesquisadores descobriram que os cibercriminosos estão usando resultados de pesquisa patrocinados e conversas compartilhadas no Claude para atrair vítimas para um ataque típico do ClickFix, com o objetivo de instalar malware em dispositivos macOS.
O ClickFix é um método de engenharia social que induz os usuários a infectarem seus próprios dispositivos com malware. Os usuários são orientados a executar comandos específicos que baixam o malware, geralmente um programa de roubo de informações.
Os pesquisadores descobriram que, quando os usuários pesquisam termos como Mac Claude Mac ”, podem ver resultados patrocinados do Google que parecem direcionar para o domínio legítimo claude.ai.
Na verdade, os anúncios redirecionam para conversas reais compartilhadas pelo Claude, criadas para parecerem guias oficiais do “Claude Code no Macou do Suporte da Apple. Uma investigação independente realizada pelo BleepingComputer descobriu outro chat com o mesmo objetivo. O chat instrui as vítimas a abrirem o Terminal e colarem um comando codificado em base64, que baixa um script shell de carregamento de uma infraestrutura controlada pelo invasor e o executa na memória.
Em seguida, o script analisa o sistema, baixa uma carga útil de segunda fase e a executa por meio do osascript, o mecanismo de scripts integrado ao macOS. Isso permite ao invasor a execução remota de código (RCE) sem precisar instalar nenhum aplicativo ou arquivo binário tradicional.
Isso resulta em uma carga útil semelhante à do MacSync, que coleta credenciais do navegador, cookies, conteúdo do Keychain e dados de carteiras de criptomoedas, agrupa essas informações e as envia via HTTP para os servidores dos invasores.
Como se manter seguro
Os usuários que utilizam o macOS Tahoe 26.4 e versões posteriores receberão avisos sobre possíveis ataques do ClickFix, mas os demais usuários ainda precisam confiar no bom senso.
Com o ClickFix se espalhando rapidamente e inventando novos métodos o tempo todo, é importante estar atento, ser cauteloso e se proteger.
- Vá com calma. Não seapresse em seguir instruções em uma página da web ou em um prompt, especialmente se for solicitado que você execute comandos no seu dispositivo ou copie e cole código. Os invasores aproveitam-se da sensação de urgência para contornar o seu pensamento crítico; portanto, tenha cuidado com páginas que exortem a uma ação imediata. Páginas sofisticadas do ClickFix incluem contagens regressivas, contadores de usuários ou outras táticas de pressão para levá-lo a agir rapidamente.
- Evite executar comandos ou scripts provenientes de fontes não confiáveis. Nuncaexecute códigos ou comandos copiados de sites, e-mails ou mensagens, a menos que você confie na fonte e compreenda o que a ação faz.
- Verifique as instruções por conta própria. Seum site solicitar que você execute um comando ou realize uma ação técnica, verifique a documentação oficial ou entre em contato com o suporte antes de prosseguir.
- Limite o uso de copiar e colar em comandos.Digitar os comandos manualmente, em vez de copiá-los e colá-los, pode reduzir o risco de executar, sem saber, códigos maliciosos ocultos no texto copiado.
- Proteja seus dispositivos. Use um sistema atualizado e em tempo real solução antimalware com proteção na web. Malwarebytes conexões com sites perigosos como esses.
- Mantenha-se informado sobre as novas técnicas de ataque.Compreender que os ataques podem vir de fontes inesperadas ajuda a manter a vigilância. Continue acompanhando nosso blog!
- Fique longe dos anúncios patrocinados nos resultados de pesquisa. Qualquer pessoa pode comprá-los e fazê-los parecer legítimos.
Dica profissional:O Malwarebytes Browser Guard avisa quando um site tenta copiar algo para a sua área de transferência.
Impedir que as ameaças causem qualquer dano.
Browser Guard Malwarebytes Browser Guard páginas de phishing e sites maliciosos automaticamente. É gratuito e se instala com um clique. Adicione-o ao seu navegador →
