Исследователи из Moonlock Lab сообщили о новой сложной кибератаке на устройства с macOS, получившей название ClickFix. Злоумышленники смогли соединить взломанные аккаунты Google Ads с публичными страницами на платформе claude.ai, чтобы заставить владельцев компьютеров Mac самостоятельно загрузить и запустить вредоносный код.
Об этом сообщает ProIT
Как работает атака ClickFix: схема и особенности
Механизм атаки выглядит следующим образом: во время поиска в Google по типичным запросам, например, “brew macos”, пользователь видит рекламную ссылку на claude.ai. Несмотря на то, что страница кажется легитимной, её контент уже подменен киберпреступниками. На таком ресурсе размещена пошаговая инструкция по установке программного инструмента, однако в финальном шаге содержится не настоящий код, а base64-кодированная строка, которая загружает инфостилер на компьютер жертвы. До момента обнаружения совокупный просмотр этой инструкции превысил 15 600 раз.
Для продвижения вредоносной рекламы использовались скомпрометированные аккаунты Google Ads с высокой репутацией, в частности канадской благотворительной организации Earth Rangers и колумбийского ритейлера T S Q SA. Благодаря доверию к этим аккаунтам, рекламное объявление прошло автоматические проверки Google без подозрений.
MacSync атакует хранилища паролей и криптокошельки
Основным вредоносным элементом в этой кампании является инфостилер MacSync. Его цель — получение доступа к Keychain (хранилищу паролей macOS), сохраненным логинам в браузерах и приватным ключам от криптокошельков. После сбора всех данных малвар упаковывает информацию в ZIP-архив и передает её на сервер злоумышленников.
Причиной уязвимости выступила архитектурная особенность платформы Anthropic: публичные артефакты на claude.ai размещаются на основном домене компании, что создает иллюзию официальности. Пометка “user-generated” почти невидима на десктопах и совсем не отображается на мобильных устройствах, чем и воспользовались киберпреступники.
«Чтобы не стать жертвой: не запускайте команды Terminal с любых сайтов, полученных через рекламные ссылки. Для установки пакетов используйте исключительно официальные менеджеры — brew, pip, npm — с их официальных страниц».
Специалисты рекомендуют пользователям Mac быть особенно осторожными с командами, которые предлагают сторонние ресурсы, и для установки программ использовать только официальные источники и менеджеры пакетов.