Noua capcană pentru utilizatorii de Mac: hackerii se folosesc de Google Ads și Claude.ai ca să livreze malware
' fill='%23FBBC05' d='M0 37V11l17 13z'/%3e%3cpath clip-path='url(%23b)' fill='%23EA4335' d='M0 11l17 13 7-6.1L48 14V0H0z'/%3e%3cpath clip-path='url(%23b)' fill='%2334A853' d='M0 37l30-23 7.9 1L48 0v48H0z'/%3e%3cpath clip-path='url(%23b)' fill='%234285F4' d='M48 48L17 24l-4-3 35-10z'/%3e%3c/svg%3e){kind=small}
:format(webp)/https://playtech.ro/wp-content/uploads/2026/03/hacker-cropped.jpg)
Interesul uriaș pentru instrumentele de inteligență artificială a devenit o mină de aur pentru atacatori. Cea mai nouă campanie de tip malvertising arată cât de ușor poate fi transformată o platformă legitimă într-un vehicul pentru malware, mai ales atunci când utilizatorii caută rapid o aplicație populară și au încredere în primul rezultat sponsorizat din Google.
De această dată, ținta sunt utilizatorii de Mac care caută expresii precum „Claude mac download”, conform presei de specialitate. În loc să ajungă la o pagină clasică falsă, cu un domeniu ușor suspect, aceștia pot fi direcționați către chat-uri partajate pe Claude.ai, domeniul real al Anthropic. Acolo găsesc instrucțiuni aparent oficiale pentru instalarea Claude Code pe Mac, dar pașii recomandați îi împing să copieze comenzi în Terminal, ceea ce duce la descărcarea și rularea de malware.
Cum funcționează atacul care păcălește utilizatorii de Mac
Campania a fost semnalată de Berk Albayrak, inginer de securitate la Trendyol Group, care a observat un chat Claude partajat ce pretindea că oferă un ghid oficial pentru instalarea „Claude Code on Mac”. Partea periculoasă este că pagina nu se află pe un domeniu clonat, ci chiar pe Claude.ai, prin funcția de shared chats, ceea ce îi oferă o aparență de legitimitate greu de ignorat.
Instrucțiunile din acel chat le cer utilizatorilor să deschidă Terminalul și să introducă o comandă codificată. Pentru un utilizator obișnuit, acest lucru poate părea tehnic, dar normal, mai ales dacă este vorba despre un instrument pentru dezvoltatori. În realitate, comanda descarcă un script de pe servere controlate de atacatori și îl execută pe Mac fără să lase urme evidente pe disc.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1748332487/d6a5b576506fa14602ed56ef2584f825-t.jpg)
Cercetătorii de la BleepingComputer au identificat și o a doua variantă a atacului, construită pe aceeași logică, dar cu infrastructură diferită. Ambele versiuni folosesc aceeași strategie: o reclamă Google credibilă, un link care pare sigur deoarece afișează domeniul Claude.ai și un set de instrucțiuni tehnice care transformă victima în executantul propriei infectări.
Este o schimbare importantă față de campaniile clasice de phishing. Nu mai este suficient să verifici dacă domeniul arată corect. În acest caz, domeniul chiar este cel real, dar conținutul este generat și controlat de atacatori printr-o funcție legitimă a platformei.
Ce face malware-ul după infectare
Una dintre variantele analizate descarcă un script care rulează direct în memorie, o tehnică folosită pentru a reduce șansele de detecție. Mai mult, serverul atacatorilor poate livra versiuni ușor diferite ale aceluiași payload la fiecare accesare, metodă cunoscută drept livrare polimorfă. Asta complică munca soluțiilor de securitate care se bazează pe semnături fixe.
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Alte-controverse-legate-de-Meta-316x158.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/05/iPhone-18-pro-imagini-spion-316x158.jpg)
Înainte să treacă la etapa următoare, malware-ul verifică anumite detalii ale sistemului, inclusiv regiunea tastaturii. Dacă detectează configurații asociate Rusiei sau unor state CSI, scriptul se oprește. În rest, colectează date precum adresa IP externă, numele dispozitivului, versiunea sistemului de operare și localizarea tastaturii, apoi le trimite către atacatori.
O altă variantă pare să fie mai directă și să treacă rapid la furtul de date. Aceasta a fost identificată drept o variantă a infostealerului MacSync, capabil să colecteze credențiale din browser, cookie-uri și informații din macOS Keychain. Cu alte cuvinte, atacul nu vizează doar instalarea unei aplicații dubioase, ci poate duce la compromiterea conturilor personale, a sesiunilor active și a datelor sensibile stocate pe Mac.
Folosirea osascript, motorul de scripting integrat în macOS, este un alt detaliu important. Atacatorii nu au nevoie neapărat să instaleze o aplicație clasică pentru a obține execuție de cod. Se folosesc de instrumente deja prezente în sistem, ceea ce face atacul mai discret și mai greu de înțeles pentru utilizatorii fără experiență tehnică.
De ce atacul este atât de convingător
Campania funcționează pentru că exploatează trei forme de încredere în același timp. Prima este încrederea în rezultatele sponsorizate din Google. A doua este încrederea în domeniul Claude.ai. A treia este încrederea în instrucțiunile tehnice care par potrivite pentru instalarea unui instrument de tip CLI.
În trecut, multe atacuri similare foloseau site-uri care imitau aplicații populare, precum GIMP sau alte programe gratuite. Diferența aici este că utilizatorul nu vede neapărat un domeniu fals. Vede o pagină reală, pe o platformă reală, dar cu instrucțiuni periculoase introduse printr-un mecanism de partajare.
Ca să reduci riscul, nu copia comenzi în Terminal din chat-uri partajate, reclame sau ghiduri neoficiale, chiar dacă par să vină de pe un domeniu cunoscut. Pentru instalări, intră manual pe site-ul oficial, verifică documentația oficială și tratează orice comandă care descarcă și rulează automat cod ca pe un semnal de alarmă. Pe Mac, la fel ca pe Windows, cea mai periculoasă vulnerabilitate poate fi uneori graba cu care apeși Enter
Interesul uriaș pentru instrumentele de inteligență artificială a devenit o mină de aur pentru atacatori. Cea mai nouă campanie de tip malvertising arată cât de ușor poate fi transformată o platformă legitimă într-un vehicul pentru malware, mai ales atunci când utilizatorii caută rapid o aplicație populară și au încredere în primul rezultat sponsorizat din Google.
De această dată, ținta sunt utilizatorii de Mac care caută expresii precum „Claude mac download”. În loc să ajungă la o pagină clasică falsă, cu un domeniu ușor suspect, aceștia pot fi direcționați către chat-uri partajate pe Claude.ai, domeniul real al Anthropic. Acolo găsesc instrucțiuni aparent oficiale pentru instalarea Claude Code pe Mac, dar pașii recomandați îi împing să copieze comenzi în Terminal, ceea ce duce la descărcarea și rularea de malware.
Cum funcționează atacul care păcălește utilizatorii de Mac
Campania a fost semnalată de Berk Albayrak, inginer de securitate la Trendyol Group, care a observat un chat Claude partajat ce pretindea că oferă un ghid oficial pentru instalarea „Claude Code on Mac”. Partea periculoasă este că pagina nu se află pe un domeniu clonat, ci chiar pe Claude.ai, prin funcția de shared chats, ceea ce îi oferă o aparență de legitimitate greu de ignorat.
Instrucțiunile din acel chat le cer utilizatorilor să deschidă Terminalul și să introducă o comandă codificată. Pentru un utilizator obișnuit, acest lucru poate părea tehnic, dar normal, mai ales dacă este vorba despre un instrument pentru dezvoltatori. În realitate, comanda descarcă un script de pe servere controlate de atacatori și îl execută pe Mac fără să lase urme evidente pe disc.
Cercetătorii de la BleepingComputer au identificat și o a doua variantă a atacului, construită pe aceeași logică, dar cu infrastructură diferită. Ambele versiuni folosesc aceeași strategie: o reclamă Google credibilă, un link care pare sigur deoarece afișează domeniul Claude.ai și un set de instrucțiuni tehnice care transformă victima în executantul propriei infectări.
Este o schimbare importantă față de campaniile clasice de phishing. Nu mai este suficient să verifici dacă domeniul arată corect. În acest caz, domeniul chiar este cel real, dar conținutul este generat și controlat de atacatori printr-o funcție legitimă a platformei.
Ce face malware-ul după infectare
Una dintre variantele analizate descarcă un script care rulează direct în memorie, o tehnică folosită pentru a reduce șansele de detecție. Mai mult, serverul atacatorilor poate livra versiuni ușor diferite ale aceluiași payload la fiecare accesare, metodă cunoscută drept livrare polimorfă. Asta complică munca soluțiilor de securitate care se bazează pe semnături fixe.
Înainte să treacă la etapa următoare, malware-ul verifică anumite detalii ale sistemului, inclusiv regiunea tastaturii. Dacă detectează configurații asociate Rusiei sau unor state CSI, scriptul se oprește. În rest, colectează date precum adresa IP externă, numele dispozitivului, versiunea sistemului de operare și localizarea tastaturii, apoi le trimite către atacatori.
O altă variantă pare să fie mai directă și să treacă rapid la furtul de date. Aceasta a fost identificată drept o variantă a infostealerului MacSync, capabil să colecteze credențiale din browser, cookie-uri și informații din macOS Keychain. Cu alte cuvinte, atacul nu vizează doar instalarea unei aplicații dubioase, ci poate duce la compromiterea conturilor personale, a sesiunilor active și a datelor sensibile stocate pe Mac.
Folosirea osascript, motorul de scripting integrat în macOS, este un alt detaliu important. Atacatorii nu au nevoie neapărat să instaleze o aplicație clasică pentru a obține execuție de cod. Se folosesc de instrumente deja prezente în sistem, ceea ce face atacul mai discret și mai greu de înțeles pentru utilizatorii fără experiență tehnică.
De ce atacul este atât de convingător
Campania funcționează pentru că exploatează trei forme de încredere în același timp. Prima este încrederea în rezultatele sponsorizate din Google. A doua este încrederea în domeniul Claude.ai. A treia este încrederea în instrucțiunile tehnice care par potrivite pentru instalarea unui instrument de tip CLI.
În trecut, multe atacuri similare foloseau site-uri care imitau aplicații populare, precum GIMP sau alte programe gratuite. Diferența aici este că utilizatorul nu vede neapărat un domeniu fals. Vede o pagină reală, pe o platformă reală, dar cu instrucțiuni periculoase introduse printr-un mecanism de partajare.
Ca să reduci riscul, nu copia comenzi în Terminal din chat-uri partajate, reclame sau ghiduri neoficiale, chiar dacă par să vină de pe un domeniu cunoscut. Pentru instalări, intră manual pe site-ul oficial, verifică documentația oficială și tratează orice comandă care descarcă și rulează automat cod ca pe un semnal de alarmă. Pe Mac, la fel ca pe Windows, cea mai periculoasă vulnerabilitate poate fi uneori graba cu care apeși Enter.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1667480684/9c2ab12b1bcfb46a83803bc57cd80cac-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737978465/17f7be969c9155d0f9076e1516352a3a-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737972417/e959287d84cf5d0f3c71b63fceb8379b-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1646818613/59c06e326a4d8316a6e1887333f3756d-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1683783849/15cc488f36cf90a3c0f3aef5853b90d5-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/04/1610191967/2491770cd6c017264174a39c4810c33e-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778138107/b3ee3bc124703f6ee79fa5ba8ff4ee50-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/05/1778137329/6dc8d64d0144773dd351146896b86f6b-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Vieux-Carre-scaled.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/supraveghere-copil-monitorizare.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Cati-bani-a-reusit-sa-stranga-la-Pilonul-II-un-roman-cu-salariul-mediu-in-18-ani.-Din-2027-intra-in-vigoare-reguli-noi.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Meteorit-captura-SUA.jpg)