Владельцы Mac столкнулись с новой опасной схемой распространения вредоносного ПО. Киберпреступники используют рекламу Google и страницы на Claude AI, чтобы заставить пользователей самостоятельно запускать зараженные команды в Terminal.

Исследователи Moonlock Lab сообщили, что злоумышленники применяют технику ClickFix, комбинируя взломанные аккаунты Google Ads и публичный контент на платформе Anthropic Claude AI.

Пользователей Mac заманивают через рекламу Google

Схема начинается с обычного поискового запроса. Например, пользователь вводит в Google фразу «brew macos», после чего среди результатов появляется рекламная ссылка на страницу claude.ai.

На первый взгляд все выглядит безопасно: сайт настоящий, домен официальный, а сама страница оформлена как инструкция по установке инструмента для macOS. Именно на это и делают ставку злоумышленники.

По данным экспертов, зараженную страницу успели просмотреть более 15 600 раз до момента ее обнаружения.

Вредоносный код скрыли внутри обычной команды

На странице публиковалась пошаговая инструкция с командами для Terminal. Однако финальная команда содержала не обычный код, а скрытую base64-строку, которая автоматически загружала и запускала вредоносное ПО.

Для продвижения опасной рекламы хакеры использовали взломанные аккаунты Google Ads с высокой репутацией. Среди пострадавших оказались канадская организация Earth Rangers и колумбийский ритейлер T S Q SA.

Именно доверие к этим рекламным аккаунтам позволило объявлениям пройти автоматическую проверку Google без подозрений.

Вирус MacSync охотится за паролями и криптокошельками

Основной вредоносной нагрузкой оказался инфостилер MacSync. После заражения программа начинает искать:

• данные из Keychain;
• сохраненные пароли браузеров;
• логины пользователей;
• приватные ключи криптокошельков.

После сбора информации вирус архивирует украденные данные в ZIP-файл и отправляет их на сервер злоумышленников.

Как защитить Mac от новой угрозы

Эксперты рекомендуют соблюдать несколько простых правил:

• не запускать команды Terminal с рекламных страниц;
• всегда проверять адрес сайта перед копированием команд;
• скачивать инструменты только с официальных сайтов;
• использовать проверенные менеджеры пакетов вроде Homebrew, pip и npm;
• не отключать системную защиту macOS ради установки неизвестных программ.

Специалисты предупреждают, что подобные атаки становятся все более убедительными, поскольку злоумышленники все чаще используют легитимные сервисы и доверенные платформы для распространения вредоносного ПО.