近期有安全监测发现,黑客正在开展一轮定向恶意广告攻击活动,恶意滥用谷歌竞价广告与 Claude.ai 公开共享聊天内容,专门瞄准 Mac 用户实施钓鱼投毒,诱导下载安装窃取类恶意软件。
用户在谷歌搜索Claude Mac 下载等关键词时,首页会出现官方标识的赞助广告结果。广告表面挂靠 Claude.ai 正规官网域名,看似是官方正规入口,实际却导流到暗藏恶意指引的 Claude 共享聊天页面,一步步诱导 Mac 用户执行命令、植入木马程序。
本次恶意攻击由 Trendyol Group 安全工程师 Berk Albayrak 率先曝光,并在 LinkedIn 公开了完整攻击链路。他发现一则公开可访问的 Claude 共享会话,伪装成苹果官方客服发布所谓「Mac 端 Claude 代码安装教程」,欺骗用户复制终端命令、粘贴执行。一旦照做,后台就会静默拉取并运行恶意程序,整机陷入被控风险。
在跟进核实该威胁时,安全媒体 BleepingComputer 又挖出另一套同套路攻击链路,同样依托 Claude 公开共享聊天实施社会工程诱骗,只是所用域名、木马载荷完全不同。两处恶意会话结构一致、话术套路相同,截至目前仍处于公开可访问状态。
Mac 恶意软件攻击流程与行为细节
恶意 Claude 会话中暗藏经过 Base64 编码的指令,会自动跳转恶意域名,下载加密 Shell 脚本,两个典型恶意链接如下:
其一从伪装建站域名下发恶意程序载荷
其二通过伪装调试地址加载 loader.sh 脚本
其中 loader.sh 采用 Gunzip 压缩封装,全程内存级运行,不在本地磁盘留存明显文件痕迹,隐蔽性极强。
攻击者还采用多态分发技术:每次访问服务器都会返回全新混淆版本的恶意载荷,特征哈希全程变化,传统杀毒软件难以通过特征库拦截查杀。
其中一套攻击脚本具备地域筛查机制:优先检测设备键盘布局是否归属俄罗斯及独联体区域,若是则直接静默退出,并向攻击者服务器回传屏蔽状态;仅非目标区域设备才会继续后续投毒流程,精准筛选攻击对象。
正式下发木马前,脚本还会悄悄采集用户外网 IP、主机名、系统版本、键盘区域配置等隐私信息,批量回传攻击者后台,完成目标画像后再推送第二阶段恶意载荷,并调用 macOS 原生 osascript 引擎执行,无需安装第三方程序即可实现远程代码执行。
另一路攻击变体则跳过地域与环境检测环节,直接落地执行,主打高效窃取。最终会搜刮浏览器账号凭证、Cookie 缓存以及 macOS 钥匙串中的各类密码密钥,打包回传至黑客服务器,经研判属于 MacSync macOS 信息窃取木马的衍生变种。目前该链路所用恶意域名已失效无法访问。
新型攻击特点:利用正规平台洗白链路
以往恶意广告大多靠仿冒官网、伪造域名做钓鱼跳转,本次攻击方式更加隐蔽:谷歌竞价广告直接指向 Anthropic 官方 claude.ai 真实域名,没有任何伪造网址,只是把恶意诱导话术藏在 Claude 自带的公开共享聊天功能里,借正规 AI 平台背书,极大降低用户警惕性。
事实上这并非首次滥用 AI 共享会话作恶,此前就已有类似套路针对 ChatGPT、Grok 用户发起钓鱼投毒,已成黑产常用攻击手法。
安全防护建议
下载 Claude 客户端务必手动输入官方网址进入,绝不点击搜索引擎赞助广告链接;
正规 Claude Code 命令行工具仅以官方文档为准,不要随意粘贴聊天页面的终端命令;
日常使用 Mac 保持原则:任何来源要求复制粘贴终端执行命令,一律谨慎核实、拒绝盲从;
及时更新系统与安全防护工具,关闭陌生来源脚本自动执行权限。
觉得内容不错?我要
