黑客滥用谷歌广告与 Claude.ai 聊天推送 Mac 恶意软件

攻击者在一场正在进行的恶意广告活动中，滥用谷歌广告和 Claude.ai 的合法共享聊天内容。

用户在搜索 “Claude mac 下载” 时，可能会看到谷歌的赞助搜索结果，其中将 claude.ai 列为目标网站，但实际引导用户执行的操作会在其 Mac 设备上安装恶意软件。

被用于攻击 Mac 用户的 Claude 共享聊天内容

该活动由 Trendyol Group 的安全工程师伯克・阿尔巴伊拉克（Berk Albayrak）发现，他在领英（LinkedIn）上分享了自己的发现。

阿尔巴伊拉克发现一个 Claude.ai 共享聊天记录，该记录自称是由 “苹果支持” 提供的官方 “Mac 上的 Claude 代码” 安装指南。

这个聊天记录引导用户打开终端并粘贴一条命令，这条命令会在用户的 Mac 上悄悄下载并运行恶意软件。

在试图验证阿尔巴伊拉克的发现时，BleepingComputer 又发现了另一个 Claude 共享聊天记录，通过完全不同的基础设施实施同样的攻击。

这两个聊天记录结构相同，都采用相同的社会工程学手段，但使用不同的域名和有效载荷。在撰写本文时，这两个聊天记录均可公开访问：

Mac 恶意软件的行为

在共享的 Claude 聊天记录中展示的 Base64 编码指令，会从以下类似域名下载经过编码的 Shell 脚本：

• 阿尔巴伊拉克发现的变体（VirusTotal）：hxxp://customroofingcontractors [.] com/curl/b42a0ed9d1ecb72e42d6034502c304845d98805481d99cea4e259359f9ab206e

• BleepingComputer 发现的变体（VirusTotal）：hxxps://bernasibutuwqu2 [.] com/debug/loader.sh?build=a39427f9d5bfda11277f1a58c89b7c2d

“loader.sh”（由上述第二个链接提供）是另一组经过 Gunzip 压缩的 Shell 指令：

这个压缩的 Shell 脚本完全在内存中运行，在磁盘上几乎不留下明显痕迹。

BleepingComputer 观察到，服务器会针对每个请求提供独特混淆版本的有效载荷（一种称为多态交付的技术），这使得安全工具难以根据已知的哈希值或签名标记该下载。

BleepingComputer 发现的变体首先会检查设备是否配置了俄罗斯或独联体地区的键盘输入源。如果是，脚本会在不执行任何操作的情况下退出，并在退出时向攻击者的服务器发送一个 “cis_blocked” 状态的静默 ping。只有通过此检查的设备才会进入下一阶段：

在进一步操作之前，脚本还会收集受害者的外部 IP 地址、主机名、操作系统版本和键盘区域设置，并将所有这些信息发送回攻击者。在交付有效载荷之前进行这种受害者特征分析，表明攻击者在选择攻击目标时具有选择性。

然后，脚本会下载第二阶段的有效载荷，并通过 macOS 内置的脚本引擎 osascript 运行它。这使得攻击者无需安装传统应用程序或二进制文件即可实现远程代码执行。

然而，阿尔巴伊拉克发现的变体似乎跳过了特征分析步骤，直接进入执行阶段。

它会收集浏览器凭证、cookies 和 macOS 钥匙串内容，打包后泄露给攻击者的服务器。阿尔巴伊拉克认为这是 MacSync macOS 信息窃取程序的一个变体：

在撰写本文时，阿尔巴伊拉克发现的变体中显示的 briskinternet [.] com 域名似乎已无法访问。

当合法网址成为威胁

恶意广告已成为恶意软件反复使用的传播机制。

BleepingComputer 此前曾报道过类似的活动，针对搜索 GIMP 等软件的用户，令人信服的谷歌广告会列出看似合法的域名，但实际上会将访问者引导到仿冒的网络钓鱼网站。

而这次活动却有所不同，因为不存在可识别的虚假域名。

这里看到的两个谷歌广告都指向 Anthropic 的真实域名 claude.ai，因为攻击者将恶意指令托管在 Claude 自己的共享聊天功能中。广告中的目标 URL 是真实的。

然而，这并非攻击者首次以这种方式滥用人工智能平台的共享聊天功能。去年 12 月，BleepingComputer 报道过类似针对 ChatGPT 和 Grok 用户的活动。

用户应直接访问 claude.ai 下载原生的 Claude 应用程序，而不是点击赞助搜索结果。合法的 Claude Code 命令行界面（CLI）可通过 Anthropic 的官方文档获取，无需从聊天界面粘贴命令。

一般来说，无论指令看似来自何处，对任何要求粘贴终端命令的指令都保持谨慎是良好的做法。

BleepingComputer 在发布前联系了 Anthropic 和谷歌征求意见。