Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Użytkownicy macOS stali się celem kampanii malvertisingowej, w której cyberprzestępcy łączą sponsorowane reklamy w wyszukiwarce z nadużyciem legalnej funkcji współdzielonych rozmów w Claude. To szczególnie niebezpieczny scenariusz, ponieważ ofiara trafia do wiarygodnie wyglądającego środowiska i może odnieść wrażenie, że korzysta z autentycznej instrukcji instalacyjnej.
W praktyce atak nie wymaga klasycznej fałszywej strony podszywającej się pod producenta oprogramowania. Zamiast tego użytkownik jest nakłaniany do ręcznego uruchomienia komendy w Terminalu, co inicjuje wieloetapowy łańcuch infekcji i prowadzi do uruchomienia złośliwego kodu.
W skrócie
Kampania polega na promowaniu reklam sponsorowanych związanych z pobraniem Claude dla macOS. Po kliknięciu użytkownik trafia do publicznie dostępnego współdzielonego czatu, który wygląda jak legalna instrukcja instalacji i zawiera polecenia terminalowe służące do pobrania oraz uruchomienia malware.
- atak wykorzystuje reklamy sponsorowane zamiast klasycznych linków phishingowych,
- złośliwe instrukcje są osadzone w prawdziwej usłudze AI,
- infekcja przebiega wieloetapowo i częściowo bezplikowo,
- końcowym celem jest kradzież danych uwierzytelniających, cookies i danych z Keychain.
Kontekst / historia
Malvertising od lat pozostaje skuteczną metodą dystrybucji złośliwego oprogramowania, zwłaszcza w kampaniach ukierunkowanych na osoby szukające popularnych aplikacji, narzędzi administracyjnych i usług AI. W tradycyjnym modelu reklama prowadziła do domeny imitującej witrynę producenta. W tym przypadku schemat został rozwinięty i dostosowany do nowych nawyków użytkowników.
Atakujący zrezygnowali z oczywistej imitacji strony internetowej i wykorzystali zaufanie do legalnej platformy. Umieszczenie instrukcji w publicznie współdzielonym czacie usuwa jeden z najbardziej rozpoznawalnych sygnałów ostrzegawczych, czyli podejrzany adres URL. Dzięki temu użytkownik może błędnie uznać, że treść została przygotowana lub zatwierdzona przez dostawcę usługi.
To wyraźny przykład ewolucji socjotechniki. Przestępcy nie muszą już przekonywać ofiary do pobrania podejrzanego pliku wykonywalnego. Wystarczy skłonić ją do samodzielnego uruchomienia komendy w powłoce systemowej, co znacząco zwiększa skuteczność ataku.
Analiza techniczna
Z dostępnych analiz wynika, że sponsorowane wyniki wyszukiwania były powiązane z frazami dotyczącymi instalacji Claude na Macu. Po wejściu w reklamę użytkownik trafiał do współdzielonego czatu prezentowanego jako pomoc techniczna lub przewodnik instalacyjny. Kluczowym elementem był zestaw poleceń do wklejenia w Terminalu.
Po uruchomieniu komendy rozpoczynał się łańcuch infekcji oparty na pobraniu pierwszego etapu ładunku z infrastruktury kontrolowanej przez napastników. Następnie wykonywany był zaciemniony skrypt powłoki, który działał głównie w pamięci operacyjnej. Taki model ogranicza liczbę artefaktów na dysku i utrudnia wykrycie przez rozwiązania oparte wyłącznie na sygnaturach plików.
Zaobserwowano również polimorficzne dostarczanie malware. Oznacza to, że serwer zwracał różniące się warianty ładunku przy kolejnych żądaniach, co obniża skuteczność prostych wskaźników kompromitacji bazujących na hashach. Chociaż próbki mogą wyglądać inaczej, ich cel operacyjny pozostaje ten sam.
W jednej z analizowanych odmian malware wykonywał wstępne profilowanie ofiary. Sprawdzane były między innymi ustawienia klawiatury oraz wybrane parametry środowiska systemowego. Jeśli system wskazywał na określone regiony, złośliwy kod kończył działanie. W pozostałych przypadkach zbierane były informacje rozpoznawcze, takie jak adres IP, nazwa hosta, wersja systemu i ustawienia językowe, po czym uruchamiano kolejny etap z użyciem natywnego mechanizmu osascript.
Zastosowanie osascript wpisuje się w technikę living off the land, czyli wykorzystywania legalnych narzędzi systemowych do wykonania złośliwych działań. Dzięki temu atak wygląda mniej podejrzanie i może łatwiej ominąć część tradycyjnych mechanizmów ochronnych.
Badacze wskazali, że jedna z wariacji kampanii była powiązana z rodziną infostealerów dla macOS określaną jako MacSync. Funkcjonalność złośliwego kodu obejmowała wykradanie zapisanych haseł z przeglądarek, sesyjnych plików cookie oraz danych z pęku kluczy macOS. To zestaw zdolności pozwalający na przejęcie kont, wykorzystanie aktywnych sesji i dalsze nadużycia w środowiskach prywatnych oraz firmowych.
Konsekwencje / ryzyko
Największym zagrożeniem w tej kampanii jest połączenie wysokiej wiarygodności z prostotą wykonania po stronie ofiary. Użytkownik nie instaluje jawnie podejrzanego programu z nieznanego źródła, lecz wykonuje pojedynczą komendę opisaną jako pomoc instalacyjna w znanej usłudze.
Z perspektywy bezpieczeństwa organizacji ryzyko obejmuje nie tylko utratę danych lokalnych, ale również przejęcie tożsamości wykorzystywanych do logowania do usług chmurowych, poczty i narzędzi biznesowych.
- kradzież poświadczeń do usług SaaS i poczty,
- przejęcie aktywnych sesji przeglądarkowych,
- dostęp do danych przechowywanych w Keychain,
- możliwość dalszego ruchu bocznego po wykorzystaniu skradzionych kont,
- utrudniona detekcja z powodu działania w pamięci i użycia legalnych narzędzi systemowych.
Dodatkowym problemem jest omijanie podstawowych nawyków bezpieczeństwa. Nawet ostrożny użytkownik może sprawdzić domenę i uznać ją za wiarygodną, ponieważ oszustwo nie opiera się na klasycznym phishingu domenowym. W efekcie obrona musi koncentrować się bardziej na analizie zachowania, kontekstu i treści instrukcji niż na samym adresie strony.
Rekomendacje
Organizacje oraz użytkownicy indywidualni powinni traktować każde polecenie wymagające ręcznego wklejenia do Terminala jako działanie podwyższonego ryzyka. Dotyczy to także sytuacji, gdy instrukcja znajduje się w pozornie zaufanym serwisie lub narzędziu AI.
- nie korzystać z reklam sponsorowanych jako ścieżki pobierania aplikacji,
- odwiedzać strony producentów bezpośrednio z zapisanych zakładek lub wpisując adres ręcznie,
- weryfikować instrukcje instalacyjne wyłącznie w oficjalnej dokumentacji dostawcy,
- monitorować użycie
osascript,curl,bashish, - wdrożyć EDR lub XDR zdolny do wykrywania aktywności bezplikowej i in-memory,
- chronić przeglądarki oraz magazyny sekretów, w tym Keychain,
- szkolić użytkowników z rozpoznawania fałszywych instrukcji technicznych,
- ograniczać lokalne uprawnienia administracyjne i stosować zasadę najmniejszych uprawnień.
W środowiskach firmowych warto dodatkowo wdrożyć filtrowanie reklam i ryzykownych przekierowań na poziomie DNS lub secure web gateway, a po wykryciu incydentu przeprowadzić rotację poświadczeń oraz unieważnienie aktywnych sesji w kluczowych usługach.
Podsumowanie
Opisana kampania pokazuje, że nowoczesne ataki na macOS coraz częściej opierają się nie na fałszywych aplikacjach, lecz na manipulowaniu zachowaniem użytkownika w zaufanych ekosystemach. Wykorzystanie reklam sponsorowanych i współdzielonych czatów pozwala napastnikom stworzyć wiarygodny łańcuch socjotechniczny, który kończy się ręcznym uruchomieniem malware przez samą ofiarę.
Z perspektywy obrony kluczowe staje się odejście od pytania, czy domena wygląda poprawnie, na rzecz oceny, czy dana instrukcja wymaga niebezpiecznej akcji i czy rzeczywiście pochodzi z oficjalnej dokumentacji producenta. W przypadku macOS szczególną uwagę należy zwracać na komendy powłoki, użycie osascript, działania bezplikowe oraz próby dostępu do danych uwierzytelniających i Keychain.
Źródła
- BleepingComputer — Hackers abuse Google ads, Claude.ai chats to push Mac malware — https://www.bleepingcomputer.com/news/security/hackers-abuse-google-ads-claudeai-chats-to-push-mac-malware/
- VirusTotal — analiza wskazanych artefaktów i infrastruktury kampanii — https://www.virustotal.com/
- AdGuard — raporty dotyczące podobnych kampanii wymierzonych w użytkowników macOS — https://adguard.com/
- Apple Developer Documentation — osascript i mechanizmy skryptowe macOS — https://developer.apple.com/
- MITRE ATT&CK — techniki związane z infostealerami, skryptami i credential access — https://attack.mitre.org/