Исследователи обнаружили, что киберпреступники используют спонсируемые результаты поиска и общие чаты в приложении Claude, чтобы заманить жертв в типичную атаку ClickFix с целью установки вредоносного ПО на устройства с macOS.
ClickFix — это метод социальной инженерии, с помощью которого пользователей обманом заставляют заразить собственное устройство вредоносным ПО. Пользователям предлагается выполнить определенные команды, которые приводят к загрузке вредоносного ПО, как правило, программы для кражи данных.
Исследователи обнаружили, что при поиске таких фраз, как Mac », пользователи могут увидеть спонсируемые результаты Google, которые, на первый взгляд, ведут на легитимный домен claude.ai.
На самом деле эти объявления ведут к поддельным чатам с «Клодом», оформленным так, чтобы выглядеть как официальные руководства «Claude Code on Macили службы поддержки Apple. Независимое расследование, проведенное BleepingComputer, выявило еще один чат, служащий той же цели. В чате жертвам предлагается открыть Терминал и вставить команду в кодировке base64, которая загружает скрипт-загрузчик с контролируемой злоумышленниками инфраструктуры и запускает его в памяти.
Затем скрипт проводит анализ системы, загружает полезную нагрузку второго уровня и запускает её через osascript — встроенный движок сценариев macOS. Это позволяет злоумышленнику получить возможность удалённого выполнения кода (RCE) без необходимости установки традиционного приложения или бинарного файла.
В результате получается полезный груз, подобный MacSync, который собирает учетные данные браузера, файлы cookie, содержимое Keychain и данные криптовалютных кошельков, объединяет их и отправляет всю эту информацию по протоколу HTTP на серверы злоумышленников.
Как оставаться в безопасности
Пользователи, использующие macOS Tahoe 26.4 и более поздние версии, будут видеть предупреждения о возможных атаках ClickFix, однако остальным пользователям по-прежнему приходится полагаться на здравый смысл.
Поскольку ClickFix активно распространяется и постоянно придумывает новые методы, важно оставаться бдительным, осторожным и обеспечить себе защиту.
- Не торопитесь. Неспешите выполнять инструкции на веб-странице или в всплывающем окне, особенно если вам предлагается запустить команды на вашем устройстве или скопировать и вставить код. Злоумышленники используют ощущение срочности, чтобы обойти ваше критическое мышление, поэтому будьте осторожны с сайтами, призывающими к немедленным действиям. Продуманные страницы ClickFix используют обратный отсчет, счетчики посетителей и другие приемы давления, чтобы заставить вас действовать быстро.
- Не запускайте команды или скрипты из ненадежных источников. Никогда незапускайте код или команды, скопированные с веб-сайтов, из электронных писем или сообщений, если вы не уверены в надежности источника и не понимаете, к чему приведет данное действие.
- Проверяйте инструкции самостоятельно. Еслина веб-сайте предлагается выполнить какую-либо команду или техническое действие, прежде чем приступать к этому, проверьте информацию в официальной документации или обратитесь в службу поддержки.
- Ограничьте использование функции «копировать-вставить» при вводе команд.Ввод команд вручнуювместо их копирования и вставки может снизить риск непреднамеренного запуска вредоносных программ, скрытых в скопированном тексте.
- Обеспечьте безопасность своих устройств. Используйте актуальную информацию в режиме реального времени решение для защиты от вредоносных программ с помощью веб-защиты. Malwarebytes подключения к таким небезопасным сайтам.
- Будьте в курсе новых методов атак.Осознание того, что атаки могут исходить из неожиданных источников, помогает сохранять бдительность. Продолжайте читать наш блог!
- Не доверяйте спонсорской рекламе в результатах поиска. Любой может ее купить и сделать так, чтобы она выглядела достоверно.
Совет от профессионала:Бесплатная Malwarebytes Browser Guard предупреждает вас, когда веб-сайт пытается скопировать что-либо в ваш буфер обмена.
Пресекайте угрозы, пока они не нанесли ущерб.
Malwarebytes Browser Guard автоматическиBrowser Guard фишинговые страницы и вредоносные сайты. Бесплатно, устанавливается одним щелчком мыши. Добавьте его в свой браузер →
