Дослідники Moonlock Lab виявили нову хвилю атак на macOS під назвою ClickFix. Зловмисники використовують зламані акаунти Google Ads для просування посилань, що ведуть на публічні сторінки (артефакти) сервісу Claude AI. Користувач, шукаючи системні інструменти на кшталт Homebrew, бачить офіційне на вигляд оголошення, яке перенаправляє його на інструкцію з начебто правильним кодом. Насправді замість реальних команд сторінка містить зашифрований рядок, який після запуску в терміналі завантажує вірус на комп’ютер.
Для обходу модерації хакери зламали верифіковані рекламні кабінети відомих організацій, що забезпечило оголошенням високу репутацію в системі Google. Кінцевою метою атаки є інфостілер MacSync. Це шкідливе ПЗ націлене на викрадення даних із системного сховища паролів Keychain, логінів у браузерах та приватних ключів до криптовалютних гаманців. Після збору конфіденційної інформації вірус архівує її та відправляє на сервер зловмисників.
Експерти зазначають, що успіх схеми зумовлений довірою до домену Claude.ai. Публічні артефакти Anthropic виглядають як офіційний контент, а попередження про те, що текст створений користувачем, майже неможливо помітити на десктопах і зовсім не видно на мобільних пристроях. Користувачам рекомендують утриматися від копіювання будь-яких команд із термінала зі сторонніх ресурсів та використовувати виключно офіційні сторінки розробників для встановлення програмного забезпечення.
