Berk A., Security Engineer beim Istanbuler Threat-Intelligence-Spezialisten Trendyol Group, warnt
in einem Linkedin-Post vor einer Angriffskampagne, die direkt auf MacOS-Anwender abzielt. Cyberkriminelle nutzen dabei eine Kombination von vermeintlich seriösen Google-Ads und Links auf den KI-Dienst Claude, die letztlich jedoch dazu führen, dass eine Variante der Malware MacSync geladen wird. Aufgrund der missbräuchlichen Nutzung von Online-Inseraten spricht man dabei auch von Malvertising.
Konkret beschreibt der Sicherheitsexperte die Angriffsmethode in drei Schritten: Am Beginn steht eine Suche wie "claude download mac" bei
Google. Diese führt auf eine legitime claude.ai-Ergebnisseite von Google Ads. Dort werden Installationsanweisungen aus einem geteilten Claude-Chat gezeigt, die angeblich von Apple-Supportern stammen und den User dazu auffordern, via Terminal-App einen Befehl auszuführen. In dem Befehl sind ein Loader Script und eine URL enthalten, die allerdings per Base64-Encoding verschleiert angezeigt werden. Der so heruntergeladene Inhalt wird dann in die Command Shell zsh eingespeist, worauf der Schadcode ausgeführt wird.
Die Angreifer hatten auf diesem Weg unter anderem die IP Adresse, MacOS-Version und den Hostnamen des Zielsystems. Danach wird weitere bösartiger Code geladen. Oder es werden von Anfang an sensible Daten abgegriffen, darunter Zugangsdaten und vertrauliche Informationen der MacOS Keychain. Das Sicherheitsunternehmen hat Google und
Anthropic über die Kampagne informiert – es dürfte allerdings kaum auszuschliessen sein, dass ähnliches Malvertising künftig auch mit anderen Werbezielen stattfinden wird.
(ubi)
