Фахівці Moonlock Lab виявили нову хвилю атак на macOS, використовуючи методику ClickFix. Зловмисники об’єднали зламані акаунти Google Ads і публічний контент на claude.ai, щоб спонукати користувачів Mac самостійно активувати шкідливий код.
Схема виглядає наступним чином: пошук у Google за звичайним запитом — наприклад, “brew macos” — веде до рекламного посилання на сторінку claude.ai. Сторінка є легітимним публічним артефактом, але її вміст був підмінений зловмисниками. Там міститься покрокова інструкція з установки інструменту, а в останній команді — замість справжнього коду — base64-кодований рядок, що завантажує і запускає малвар. Артефакт переглянули більше 15 600 разів до його виявлення.
Для поширення реклами зловмисники зламали перевірені акаунти Google Ads — зокрема, канадської дитячої благодійної організації Earth Rangers і колумбійського ритейлера годинників T S Q SA. Саме висока репутація цих акаунтів дозволила оголошенням пройти автоматичну перевірку Google без жодних підозр.
Шкідливе програмне забезпечення — інфостілер MacSync. Він спеціально націлений на Keychain (сховище паролів macOS), збережені логіни в браузерах та приватні ключі криптогаманців. Після збору даних малвар упаковує їх у ZIP-архів і відправляє на сервер зловмисників.
Основна проблема з боку Anthropic — архітектурна. Публічні артефакти на claude.ai розміщені на основному домені компанії, тому виглядають як офіційний контент. Невелика позначка “user-generated” у верхній частині сторінки непомітна на десктопі і зовсім не відображається на мобільних пристроях. Це не є помилкою конкретного ескейпу — це структурна довіра, яку зловмисники свідомо використали.
Щоб уникнути потрапляння в пастку: не виконуйте команди Terminal з будь-яких сайтів, отриманих через рекламні посилання. Для установки пакетів використовуйте виключно офіційні менеджери — brew, pip, npm — з їхніх офіційних ресурсів.
Apple і Intel уклали попередню угоду про виробництво чипів: що відомо
СпецпроєктиНовий конкурс авторів ITC.ua: напиши допис та виграй крутий електросамокат і техніку від ProoveОгляд електросамокату Proove Model City Pulse 350W: нічого зайвого, тільки рух
Джерело: BleepingComputer
Дуже тривожна ситуація, особливо через використання легітимних акаунтів Google Ads. Варто бути надзвичайно обережними з інструкціями з інтернету, навіть якщо вони здаються офіційними.
Абсолютно згоден. Навіть офіційні інструкції можуть бути скомпрометовані, тож важливо перевіряти джерела та використовувати додаткові засоби захисту, як двофакторна аутентифікація. Будьте уважні та обережні.