Η κακόβουλη διαφήμιση στο διαδίκτυο έχει εξελιχθεί σε μια επικίνδυνη ταξιδιωτική διαδρομή για κακόβουλο λογισμικό, με τους εισβολείς να εκμεταλλεύονται τις δυνατότητες των Google Ads και των νόμιμων υπηρεσιών όπως το Claude.ai. Η τελευταία αυτή εκστρατεία έχει στοχεύσει κυρίως χρήστες macOS, οι οποίοι αναζητούν ‘λήψη Claude για Mac’. Δυστυχώς, αυτά τα αποτελέσματα αναζήτησης οδηγούν σε οδηγίες που εγκαθιστούν κακόβουλο λογισμικό στο σύστημα τους, απειλώντας την ασφάλεια και την ιδιωτικότητα τους.
(BleepingComputer)
Κοινόχρηστες συνομιλίες Claude: Μια νέα κακόβουλη στρατηγική
Η εκστρατεία αυτή αποκαλύφθηκε από τον μηχανικό ασφαλείας Berk Albayrak, ο οποίος δημοσίευσε τα ευρήματά του στο LinkedIn. Ο Albayrak ανακάλυψε μια συνομιλία του Claude.ai, η οποία παρουσιάζεται ως επίσημος οδηγός εγκατάστασης με τον τίτλο ‘Claude Code on Mac’, και αποδίδεται στην υποστήριξη της Apple.
Αυτός ο οδηγός καθοδηγεί τους χρήστες να ανοίξουν τον Terminal και να επικολλήσουν μια εντολή, η οποία τους εκθέτει σε κακόβουλο λογισμικό μέσω ενός συνημμένου που κατεβάζεται σιωπηλά. Επιπλέον, το κοινόχρηστο link καθοδηγεί τους χρήστες σε επικίνδυνες πρακτικές που υιοθετούν τεχνικές κοινωνικής μηχανικής.
Αξιοσημείωτο είναι ότι, κατά την επαλήθευση των ευρημάτων του Albayrak, το BleepingComputer εντόπισε έναν δεύτερο μοιρασμένο σύνδεσμο της συνομιλίας που προσφέρει τον ίδιο επιβλαβή κωδικό μέσω διαφορετικών υποδομών. Οι δύο αυτά συνομιλίες χρησιμοποιούν παρόμοιες στρατηγικές αλλά διαφοροποιούνται σε σχέση με τους τομείς και το κακόβουλο φορτίο που προωθούν.
(BleepingComputer)
Πώς λειτουργεί το κακόβουλο λογισμικό macOS;
Οι οδηγίες που προέρχονται από το Claude.ai περιλαμβάνουν κωδικοποιημένα scripts σε base64, τα οποία κατεβάζουν ένα κακόβουλο σενάριο από συγκεκριμένους τομείς. Όπως παρατήρησε ο Albayrak, υπήρχαν παραλλαγές σχετικά με τους τομείς αυτοί, μερικές από τις οποίες παρατίθενται παρακάτω:
- Για παραλλαγή που υπάρχουν στοιχεία στο VirusTotal: hxxp://customroofingcontractors[.]com/curl/b42a0ed9d1ecb72e42d6034502c304845d98805481d99cea4e259359f9ab206e
- Για παραλλαγή που εντοπίστηκε από το BleepingComputer VirusTotal: hxxps://bernasibutuwqu2[.]com/debug/φορτωτής.sh?build=a39427f9d5bfda11277f1a58c89b7c2d
Το ‘loader.sh’ ενεργοποιείται, εκτελείται στη μνήμη και συχνά αφήνει ελάχιστα ίχνη στο δίσκο, κάνοντάς το πιο δύσκολο να ανιχνευθεί από τα παραδοσιακά εργαλεία ασφαλείας. Η παραλλαγή που ανιχνεύθηκε από το BleepingComputer χρησιμοποιεί τεχνικές πολυμορφικής παράδοσης και πραγματοποιεί επαλήθευση της προέλευσης των πληκτρολογημένων δεδομένων των χρηστών, ελέγχοντας εάν προέρχονται από τη Ρωσία ή χώρες της περιοχής CIS.
Προβλήματα και Συναγερμοί
Αυτή η τεχνική φέρνει σοβαρούς κινδύνους για την ασφάλεια των χρηστών. Η εκτέλεση κακόβουλου λογισμικού χωρίς οι χρήστες να το γνωρίζουν, οδηγεί σε κλοπή προσωπικών δεδομένων, διαπιστευτηρίων και άλλων ευαίσθητων πληροφοριών. Οι χειριστές αυτού του κακόβουλου λογισμικού φαίνεται να έχουν στρατηγική στοχευμένη επιτυχία, προσαρμόζοντας τις μεθόδους τους ώστε να αποφεύγουν ανίχνευση.
Η απειλή των νόμιμων URLs
Ένα ιδιαίτερα ανησυχητικό στοιχείο αυτής της καμπάνιας είναι ότι οι διαφημίσεις οδηγούν σε πραγματικούς τομείς, όπως το claude.ai. Οι επιτιθέμενοι έχουν καταφέρει να ενσωματώσουν τις κακόβουλες οδηγίες μέσα στην υπηρεσία συνομιλίας του Claude, κάνοντάς τους δύσκολα ανιχνεύσιμους και εξαιρετικά επικίνδυνους για μη τεχνικούς χρήστες.
Το BleepingComputer επισημαίνει ότι οι χρήστες θα πρέπει να πλοηγούνται απευθείας στον επίσημο ιστότοπο claude.ai για να κατεβάσουν την εφαρμογή. Είναι κρίσιμο να αποφεύγουν τα αποτελέσματα αναζήτησης με χορηγία που παρέχουν οδηγίες για εγκατάσταση αυτού του λογισμικού.
Ο κίνδυνος της κακόβουλης διαφήμισης είναι μια πραγματικότητα που όλοι οι χρήστες του διαδικτύου πρέπει να αναγνωρίσουν. Απαιτείται προσοχή και κριτική σκέψη πριν από την εκτέλεση οποιασδήποτε εντολής τερματικού.
Το BleepingComputer επικοινώνησε με τις Anthropic και Google για σχόλια πριν από τη δημοσίευση. Η προσοχή και η εκπαίδευση των χρηστών μπορούν να βοηθήσουν στην αντιμετώπιση των απειλών στην ψηφιακή εποχή.
Η τεχνητή νοημοσύνη συνέδεσε τέσσερις ημέρες μηδέν σε ένα exploit που παρέκαμψε τόσο τα sandboxes του renderer όσο και του λειτουργικού συστήματος. Έρχεται ένα κύμα νέων κατορθωμάτων.
Στο Autonomous Validation Summit (12 & 14 Μαΐου), δείτε πώς η αυτόνομη, πλούσια σε περιβάλλον επικύρωση βρίσκει τι είναι εκμεταλλεύσιμο, αποδεικνύει ότι τα στοιχεία ελέγχου ισχύουν και κλείνει τον βρόχο αποκατάστασης.
