警惕：黑客滥用谷歌广告与Claude.ai聊天推送Mac恶意软件

该活动由Trendyol Group的安全工程师伯克・阿尔巴伊拉克（Berk Albayrak）发现，他在领英（LinkedIn）上分享了自己的发现。

阿尔巴伊拉克发现一个Claude.ai共享聊天记录，该记录自称是由 “苹果支持” 提供的官方 “Mac上的Claude代码” 安装指南。

这个聊天记录引导用户打开终端并粘贴一条命令，这条命令会在用户的Mac上悄悄下载并运行恶意软件。

在试图验证阿尔巴伊拉克的发现时，BleepingComputer又发现了另一个Claude共享聊天记录，通过完全不同的基础设施实施同样的攻击。

这两个聊天记录结构相同，都采用相同的社会工程学手段，但使用不同的域名和有效载荷。在撰写本文时，这两个聊天记录均可公开访问。

在共享的Claude聊天记录中展示的Base64编码指令，会从以下类似域名下载经过编码的 Shell 脚本：

• 阿尔巴伊拉克发现的变体（VirusTotal）：hxxp://customroofingcontractors [.] com/curl/b42a0ed9d1ecb72e42d6034502c304845d98805481d99cea4e259359f9ab206e
• BleepingComputer 发现的变体（VirusTotal）：hxxps://bernasibutuwqu2 [.] com/debug/loader.sh?build=a39427f9d5bfda11277f1a58c89b7c2d

“loader.sh”（由上述第二个链接提供）是另一组经过Gunzip压缩的Shell指令：

这个压缩的Shell脚本完全在内存中运行，在磁盘上几乎不留下明显痕迹。

BleepingComputer观察到，服务器会针对每个请求提供独特混淆版本的有效载荷（一种称为多态交付的技术），这使得安全工具难以根据已知的哈希值或签名标记该下载。

BleepingComputer发现的变体首先会检查设备是否配置了俄罗斯或独联体地区的键盘输入源。如果是，脚本会在不执行任何操作的情况下退出，并在退出时向攻击者的服务器发送一个 “cis_blocked” 状态的静默ping。只有通过此检查的设备才会进入下一阶段：

在进一步操作之前，脚本还会收集受害者的外部IP地址、主机名、操作系统版本和键盘区域设置，并将所有这些信息发送回攻击者。在交付有效载荷之前进行这种受害者特征分析，表明攻击者在选择攻击目标时具有选择性。

然后，脚本会下载第二阶段的有效载荷，并通过macOS内置的脚本引擎osascript运行它。这使得攻击者无需安装传统应用程序或二进制文件即可实现远程代码执行。

然而，阿尔巴伊拉克发现的变体似乎跳过了特征分析步骤，直接进入执行阶段。

它会收集浏览器凭证、cookies和macOS钥匙串内容，打包后泄露给攻击者的服务器。阿尔巴伊拉克认为这是MacSync macOS信息窃取程序的一个变体：在撰写本文时，阿尔巴伊拉克发现的变体中显示的briskinternet [.] com域名似乎已无法访问。

恶意广告已成为恶意软件反复使用的传播机制。

BleepingComputer此前曾报道过类似的活动，针对搜索GIMP等软件的用户，令人信服的谷歌广告会列出看似合法的域名，但实际上会将访问者引导到仿冒的网络钓鱼网站。而这次活动却有所不同，因为不存在可识别的虚假域名。

这里看到的两个谷歌广告都指向Anthropic的真实域名claude.ai，因为攻击者将恶意指令托管在Claude自己的共享聊天功能中。广告中的目标URL是真实的。

然而，这并非攻击者首次以这种方式滥用人工智能平台的共享聊天功能。去年12月，BleepingComputer报道过类似针对ChatGPT和Grok用户的活动。

用户应直接访问 claude.ai 下载原生的Claude应用程序，而不是点击赞助搜索结果。合法的Claude Code命令行界面（CLI）可通过Anthropic的官方文档获取，无需从聊天界面粘贴命令。

一般来说，无论指令看似来自何处，对任何要求粘贴终端命令的指令都保持谨慎是良好的做法。

部分信息来源网络，如有侵权请联系删除