Os investigadores descobriram que os cibercriminosos estão a utilizar resultados de pesquisa patrocinados e conversas partilhadas no Claude para atrair as vítimas para um ataque típico do ClickFix, com o objetivo de instalar malware em dispositivos macOS.
O ClickFix é um método de engenharia social que leva os utilizadores a infetarem os seus próprios dispositivos com malware. Os utilizadores são instruídos a executar comandos específicos que descarregam malware, geralmente um programa de roubo de dados.
Os investigadores descobriram que, quando os utilizadores pesquisam termos como Mac Claude Mac », podem ver resultados patrocinados do Google que parecem redirecionar para o domínio legítimo claude.ai.
Na realidade, os anúncios redirecionam para conversas reais do Claude, criadas para se parecerem com guias oficiais do «Claude Code on Macou do Suporte da Apple. Uma investigação independente realizada pelo BleepingComputer descobriu outra conversa com o mesmo objetivo. A conversa instrui as vítimas a abrirem o Terminal e a colarem um comando codificado em base64, que descarrega um script shell de carregamento de uma infraestrutura controlada pelo atacante e o executa na memória.
Em seguida, o script analisa o sistema, descarrega uma carga útil de segunda fase e executa-a através do osascript, o motor de scripts integrado no macOS. Isto permite ao atacante a execução remota de código (RCE) sem nunca ter de instalar uma aplicação ou um ficheiro binário tradicional.
Isto resulta numa carga útil do tipo MacSync que recolhe credenciais do navegador, cookies, conteúdos do Keychain e dados de carteiras de criptomoedas, agrupa-os e envia toda essa informação via HTTP para os servidores do atacante.
Como se manter seguro
Os utilizadores que utilizam o macOS Tahoe 26.4 e versões posteriores receberão avisos sobre possíveis ataques ClickFix, mas os restantes utilizadores continuam a ter de recorrer ao bom senso.
Com o ClickFix a proliferar e a inventar novos métodos constantemente, é importante manter-se atento, cauteloso e protegido.
- Vá com calma. Não seapresse a seguir instruções numa página web ou num aviso, especialmente se lhe for pedido que execute comandos no seu dispositivo ou que copie e cole código. Os atacantes aproveitam-se da sensação de urgência para contornar o seu pensamento crítico, por isso tenha cuidado com páginas que exortem a uma ação imediata. As páginas sofisticadas do ClickFix incluem contagens decrescentes, contadores de utilizadores ou outras táticas de pressão para o levar a agir rapidamente.
- Evite executar comandos ou scripts provenientes de fontes não confiáveis. Nuncaexecute código ou comandos copiados de sites, e-mails ou mensagens, a menos que confie na fonte e compreenda o que a ação implica.
- Verifique as instruções por conta própria. Seum site lhe pedir para executar um comando ou realizar uma ação técnica, consulte a documentação oficial ou contacte o apoio técnico antes de prosseguir.
- Limite a utilização da função «copiar e colar» nos comandos.Digitar os comandos manualmente, em vez de os copiar e colar, pode reduzir o risco de executar, sem saber, cargas maliciosas ocultas no texto copiado.
- Proteja os seus dispositivos. Utilize um sistema atualizado e em tempo real solução antimalware com proteção na Web. Malwarebytes ligações a sites perigosos como estes.
- Mantenha-se informado sobre as técnicas de ataque em constante evolução.Compreender que os ataques podem surgir de fontes inesperadas ajuda a manter a vigilância. Continue a ler o nosso blogue!
- Evite os anúncios patrocinados nos resultados de pesquisa. Qualquer pessoa pode comprá-los e fazê-los parecer legítimos.
Dica de profissional:O Malwarebytes Browser Guard avisa-o quando um site tenta copiar algo para a sua área de transferência.
Impedir as ameaças antes que causem qualquer dano.
Browser Guard Malwarebytes Browser Guard automaticamente páginas de phishing e sites maliciosos. É gratuito e instala-se com um clique. Adicione-o ao seu navegador →
