江蘇
關鍵詞
惡意軟件
攻擊者在一場正在進行的惡意廣告活動中,濫用谷歌廣告和 Claude.ai 的合法共享聊天內容。
用戶在搜索 “Claude mac 下載” 時,可能會看到谷歌的贊助搜索結果,其中將 claude.ai 列為目標網站,但實際引導用戶執行的操作會在其 Mac 設備上安裝惡意軟件。
被用于攻擊 Mac 用戶的 Claude 共享聊天內容
該活動由 Trendyol Group 的安全工程師伯克?阿爾巴伊拉克(Berk Albayrak)發現,他在領英(LinkedIn)上分享了自己的發現。
阿爾巴伊拉克發現一個 Claude.ai 共享聊天記錄,該記錄自稱是由 “蘋果支持” 提供的官方 “Mac 上的 Claude 代碼” 安裝指南。
這個聊天記錄引導用戶打開終端并粘貼一條命令,這條命令會在用戶的 Mac 上悄悄下載并運行惡意軟件。
在試圖驗證阿爾巴伊拉克的發現時,BleepingComputer 又發現了另一個 Claude 共享聊天記錄,通過完全不同的基礎設施實施同樣的攻擊。
這兩個聊天記錄結構相同,都采用相同的社會工程學手段,但使用不同的域名和有效載荷。在撰寫本文時,這兩個聊天記錄均可公開訪問:
Mac 惡意軟件的行為
在共享的 Claude 聊天記錄中展示的 Base64 編碼指令,會從以下類似域名下載經過編碼的 Shell 腳本:
阿爾巴伊拉克發現的變體(VirusTotal):hxxp://customroofingcontractors [.] com/curl/b42a0ed9d1ecb72e42d6034502c304845d98805481d99cea4e259359f9ab206e
BleepingComputer 發現的變體(VirusTotal):hxxps://bernasibutuwqu2 [.] com/debug/loader.sh?build=a39427f9d5bfda11277f1a58c89b7c2d
“loader.sh”(由上述第二個鏈接提供)是另一組經過 Gunzip 壓縮的 Shell 指令:
這個壓縮的 Shell 腳本完全在內存中運行,在磁盤上幾乎不留下明顯痕跡。
BleepingComputer 觀察到,服務器會針對每個請求提供獨特混淆版本的有效載荷(一種稱為多態交付的技術),這使得安全工具難以根據已知的哈希值或簽名標記該下載。
BleepingComputer 發現的變體首先會檢查設備是否配置了俄羅斯或獨聯體地區的鍵盤輸入源。如果是,腳本會在不執行任何操作的情況下退出,并在退出時向攻擊者的服務器發送一個 “cis_blocked” 狀態的靜默 ping。只有通過此檢查的設備才會進入下一階段:
在進一步操作之前,腳本還會收集受害者的外部 IP 地址、主機名、操作系統版本和鍵盤區域設置,并將所有這些信息發送回攻擊者。在交付有效載荷之前進行這種受害者特征分析,表明攻擊者在選擇攻擊目標時具有選擇性。
然后,腳本會下載第二階段的有效載荷,并通過 macOS 內置的腳本引擎 osascript 運行它。這使得攻擊者無需安裝傳統應用程序或二進制文件即可實現遠程代碼執行。
然而,阿爾巴伊拉克發現的變體似乎跳過了特征分析步驟,直接進入執行階段。
它會收集瀏覽器憑證、cookies 和 macOS 鑰匙串內容,打包后泄露給攻擊者的服務器。阿爾巴伊拉克認為這是 MacSync macOS 信息竊取程序的一個變體:
在撰寫本文時,阿爾巴伊拉克發現的變體中顯示的 briskinternet [.] com 域名似乎已無法訪問。
當合法網址成為威脅
惡意廣告已成為惡意軟件反復使用的傳播機制。
BleepingComputer 此前曾報道過類似的活動,針對搜索 GIMP 等軟件的用戶,令人信服的谷歌廣告會列出看似合法的域名,但實際上會將訪問者引導到仿冒的網絡釣魚網站。
而這次活動卻有所不同,因為不存在可識別的虛假域名。
這里看到的兩個谷歌廣告都指向 Anthropic 的真實域名 claude.ai,因為攻擊者將惡意指令托管在 Claude 自己的共享聊天功能中。廣告中的目標 URL 是真實的。
然而,這并非攻擊者首次以這種方式濫用人工智能平臺的共享聊天功能。去年 12 月,BleepingComputer 報道過類似針對 ChatGPT 和 Grok 用戶的活動。
用戶應直接訪問 claude.ai 下載原生的 Claude 應用程序,而不是點擊贊助搜索結果。合法的 Claude Code 命令行界面(CLI)可通過 Anthropic 的官方文檔獲取,無需從聊天界面粘貼命令。
一般來說,無論指令看似來自何處,對任何要求粘貼終端命令的指令都保持謹慎是良好的做法。
BleepingComputer 在發布前聯系了 Anthropic 和谷歌征求意見。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
