کمیته رکن چهارم – مهاجمان سایبری با سوءاستفاده از تبلیغات گوگل و قابلیت اشتراکگذاری چتهای Claude.ai، کاربران macOS را به نصب بدافزار و سرقت اطلاعات حساس سوق میدهند.
به گزارش کمیته رکن چهارم، این کمپین زمانی آغاز میشود که کاربران عباراتی مانند «Claude mac download» را در گوگل جستجو میکنند. در نتایج تبلیغاتی، لینکهایی نمایش داده میشود که ظاهراً به دامنه رسمی Claude.ai تعلق دارند، اما در واقع کاربران را به چتهای مخربی هدایت میکنند که خود را بهعنوان راهنمای رسمی نصب Claude روی مک معرفی کردهاند.
بررسیها نشان میدهد این چتها با نامهایی مانند «Claude Code on Mac» و حتی با جعل عنوان «Apple Support» منتشر شدهاند و کاربران را مرحلهبهمرحله ترغیب میکنند تا Terminal سیستم را باز کرده و دستورات خاصی را اجرا کنند.
این دستورات در ظاهر بیخطر به نظر میرسند، اما در پشتصحنه اسکریپتهای مخربی را از دامنههای خارجی دانلود کرده و بدون ذخیره فایل روی دیسک، مستقیماً در حافظه اجرا میکنند. پژوهشگران اعلام کردهاند مهاجمان از تکنیک polymorphic delivery استفاده میکنند؛ به این معنی که payload در هر بار دانلود تغییر میکند تا شناسایی آن توسط آنتیویروسها دشوارتر شود.
در یکی از نمونههای شناساییشده، بدافزار پیش از اجرای payload اصلی، اطلاعات قربانی شامل IP عمومی، hostname، نسخه سیستمعامل و تنظیمات کیبورد را جمعآوری میکند. همچنین اگر سیستم دارای تنظیمات روسی یا کشورهای CIS باشد، حمله متوقف میشود و payload اجرا نمیشود.
بررسیهای انجامشده نشان میدهد payload نهایی از طریق osascript اجرا شده و بدون نیاز به نصب اپلیکیشن سنتی، امکان اجرای کد دلخواه روی macOS را فراهم میکند. نمونه دیگری از این بدافزار نیز به خانواده infostealer موسوم به MacSync نسبت داده شده که قابلیت سرقت credential مرورگرها، کوکیها و دادههای Keychain مک را دارد.
این حمله از اعتماد کاربران به دامنه واقعی Claude.ai سوءاستفاده میکند و برخلاف کمپینهای کلاسیک فیشینگ، لینک نمایشدادهشده کاملاً معتبر است اما محتوای داخل چت مخرب طراحی شده است.
کارشناسان امنیتی هشدار دادهاند کاربران نباید دستورات Terminal را بدون بررسی اجرا کنند و بهتر است نرمافزار Claude را تنها از مسیرهای رسمی و بدون استفاده از لینکهای تبلیغاتی دانلود کنند.
پیشزمینه:
در ماههای اخیر سوءاستفاده از پلتفرمهای هوش مصنوعی و قابلیت اشتراکگذاری چتها برای توزیع بدافزار افزایش یافته است. پیشتر نیز کمپینهایی علیه کاربران ChatGPT و Grok با روشهای مشابه شناسایی شده بودند.
جمعبندی:
این کمپین نشان میدهد حتی سرویسهای معتبر هوش مصنوعی نیز میتوانند به بستری برای حملات مهندسی اجتماعی و توزیع بدافزار تبدیل شوند؛ بهویژه زمانی که کاربران بدون بررسی، دستورات سیستمی را اجرا میکنند.
منبع: BleepingComputer
