Nadużycie współdzielonych czatów Claude w kampanii ClickFix: legalna domena jako wektor dostarczania malware - Security Bez Tabu

Nadużycie współdzielonych czatów Claude w kampanii ClickFix: legalna domena jako wektor dostarczania malware

Cybersecurity news

Wprowadzenie do problemu / definicja

Zaufane platformy AI coraz częściej stają się elementem łańcucha ataku. Najnowszy przypadek pokazuje, że cyberprzestępcy potrafią wykorzystać funkcje współdzielonych konwersacji w Claude do dystrybucji złośliwego oprogramowania, łącząc techniki malvertisingu, inżynierii społecznej oraz nadużycia reputacji legalnej domeny.

To istotna zmiana jakościowa w krajobrazie zagrożeń. Ofiara nie trafia już wyłącznie na klasyczny phishing lub świeżo utworzoną domenę, ale na zasób osadzony w rozpoznawalnym i zaufanym ekosystemie, co obniża czujność użytkownika i utrudnia ocenę ryzyka.

W skrócie

Kampania została powiązana z techniką ClickFix i wykorzystywała reklamy w wyszukiwarce do przejmowania ruchu od użytkowników szukających popularnych narzędzi AI dla deweloperów. Następnie ofiary były przekierowywane do złośliwych stron pobierania, a później operatorzy przenieśli część działań na współdzielone czaty Claude.

  • Celem kampanii było dostarczenie malware kradnącego dane uwierzytelniające, identyfikowanego jako MacSync.
  • Według opublikowanych ustaleń kampania dotknęła ponad 2 tys. ofiar.
  • Infrastruktura obejmowała 106 unikalnych złośliwych hostów.
  • Operacja była prowadzona falami przez około siedem tygodni.
  • Najsilniej dotknięty został region Azji i Pacyfiku.

Kontekst / historia

Ataki typu ClickFix zyskały popularność, ponieważ skutecznie łączą prostotę socjotechniki z obejściem części tradycyjnych mechanizmów ochronnych. Zamiast eksploatować klasyczną lukę, operatorzy przekonują użytkownika do wykonania pozornie nieszkodliwej czynności, na przykład uruchomienia polecenia, pobrania aktualizacji lub otwarcia „narzędzia naprawczego”.

W analizowanym przypadku przestępcy najpierw budowali widoczność przez przejęte lub nadużywane reklamy związane z wyszukiwaniem narzędzi AI, a następnie wykorzystali zaufanie do ekosystemu Claude. Taki model wpisuje się w szerszy trend „living off trusted platforms”, w którym legalne usługi internetowe stają się pośrednikiem w dystrybucji zagrożeń.

Z perspektywy obrony jest to szczególnie problematyczne, ponieważ część organizacji nadal silnie opiera filtrowanie ruchu na reputacji domeny. Gdy złośliwa treść trafia do zaufanej usługi, klasyczne wskaźniki podejrzanej aktywności stają się mniej skuteczne.

Analiza techniczna

Mechanizm ataku można podzielić na kilka etapów. Pierwszy z nich polegał na pozyskaniu ruchu poprzez reklamy sponsorowane powiązane z popularnymi zapytaniami o narzędzia AI dla programistów. Użytkownik, który oczekiwał wejścia na legalną stronę produktu, trafiał do podstawionej ścieżki dostarczania ładunku.

Drugi etap obejmował wykorzystanie współdzielonych czatów Claude jako pośredniego lub bezpośredniego elementu dostarczania treści złośliwych. To kluczowy aspekt incydentu, ponieważ legalna funkcja platformy została użyta do nadania operacji wiarygodności. Obecność treści w domenie powiązanej z rozpoznawalnym dostawcą AI mogła znacząco obniżać czujność ofiar.

Trzeci etap obejmował dostarczenie malware MacSync, którego zadaniem była kradzież danych uwierzytelniających. Tego typu zagrożenia zwykle koncentrują się na pozyskiwaniu haseł, tokenów sesyjnych, danych przeglądarkowych oraz innych artefaktów pozwalających na przejęcie kont użytkowników.

W środowiskach firmowych ryzyko jest większe, gdy ofiara posiada dostęp do repozytoriów kodu, paneli administracyjnych, konsol chmurowych lub systemów SSO. Nawet pojedyncza kompromitacja może w takim scenariuszu otworzyć drogę do dalszego ruchu bocznego i eskalacji uprawnień.

Dane telemetryczne wskazują, że kampania była prowadzona w co najmniej sześciu falach i wykorzystywała 106 unikalnych złośliwych nazw hostów. Taki model operacyjny sugeruje aktywne zarządzanie infrastrukturą, rotację zasobów oraz testowanie skuteczności poszczególnych wariantów dostarczania.

Po ujawnieniu nadużycia konta odpowiedzialne za kampanię zostały zablokowane, a złośliwe współdzielone konwersacje wyłączone. To pokazuje, że funkcje współdzielenia treści w systemach AI muszą być monitorowane z podobną uwagą jak hosting plików, systemy publikacji treści czy platformy komunikacyjne.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją jest erozja klasycznych założeń zaufania. Użytkownicy, zespoły SOC i narzędzia filtrujące często przypisują wyższy poziom wiarygodności znanym domenom. Gdy atakujący zaczynają wykorzystywać legalne usługi jako nośnik kampanii, detekcja oparta wyłącznie na reputacji domeny staje się niewystarczająca.

Dla organizacji ryzyko obejmuje przejęcie kont deweloperskich, wyciek danych dostępowych do środowisk chmurowych, kradzież sesji oraz dalszy ruch boczny w infrastrukturze. Jeżeli zainfekowany użytkownik posiada uprawnienia uprzywilejowane, incydent może szybko eskalować do kompromitacji repozytoriów kodu, pipeline’ów CI/CD, sekretów aplikacyjnych oraz systemów produkcyjnych.

Istotny jest również wymiar operacyjny. Kampanie wykorzystujące reklamy sponsorowane i legalne platformy są trudniejsze do zablokowania na wczesnym etapie. Nawet dobrze skonfigurowane filtry DNS, proxy i web gatewaye mogą nie oznaczyć takiego ruchu jako podejrzanego bez dodatkowego kontekstu behawioralnego.

Rekomendacje

Organizacje powinny wdrożyć kontrolę ryzyka związanego z użyciem narzędzi AI i platform współdzielenia treści, traktując je jako potencjalny element powierzchni ataku. Konieczne jest objęcie takich usług monitoringiem bezpieczeństwa, politykami dostępu warunkowego oraz inspekcją aktywności użytkowników.

  • Ograniczyć możliwość uruchamiania nieautoryzowanych pobrań i instalacji narzędzi deweloperskich.
  • Monitorować ruch wychodzący do platform AI pod kątem nietypowych wzorców pobierania i przekierowań.
  • Wdrożyć EDR/XDR z naciskiem na kradzież poświadczeń, podejrzane procesy potomne oraz anomalie sesji.
  • Egzekwować MFA odporne na phishing oraz krótkie czasy życia tokenów sesyjnych.
  • Prowadzić szkolenia użytkowników z rozpoznawania kampanii ClickFix i fałszywych instrukcji „naprawczych”.
  • Stosować allowlisting aplikacji i kontrolę wykonywania skryptów.
  • Objąć konta deweloperskie, chmurowe i administracyjne dodatkowymi politykami detekcji i alertowania.

Z perspektywy zespołów bezpieczeństwa istotne jest także odejście od założenia, że legalna domena oznacza bezpieczną treść. Reguły detekcyjne powinny uwzględniać kontekst, w tym źródło wizyty, sekwencję przekierowań, pobranie pliku, utworzenie procesu oraz nietypowe logowania po stronie usług tożsamościowych.

Podsumowanie

Nadużycie współdzielonych czatów Claude pokazuje, że platformy AI stają się pełnoprawnym polem operacyjnym dla cyberprzestępców. W tej kampanii kluczowe było połączenie malvertisingu, socjotechniki ClickFix i reputacji legalnej usługi do dostarczenia malware kradnącego poświadczenia.

To wyraźny sygnał dla organizacji, że ochrona przed phishingiem i malware nie może już opierać się wyłącznie na blokowaniu podejrzanych domen. Coraz częściej zagrożenie przychodzi przez infrastrukturę, której użytkownicy ufają, dlatego niezbędne staje się łączenie analizy behawioralnej, kontroli tożsamości i monitoringu aktywności na zaufanych platformach.

Źródła

  1. ThreatsDay Bulletin: Claude Chat Abuse, NastyC2 npm Packages, Device-Code Phishing + 25 More Stories — https://thehackernews.com/2026/06/threatsday-bulletin-claude-chat-abuse.html
  2. Claude Shared Chats Abused for ClickFix Malvertising Campaign — https://www.trendmicro.com/
  3. macOS ClickFix Lures Deliver AppleScript Stealer and RAT — https://www.netskope.com/