Киберпрестъпници все по-активно използват публично споделено съдържание, генерирано от ИИ, за да разпространяват зловреден софтуер. Последните наблюдения показват, че ClickFix кампании комбинират Claude артефакти и платени реклами в Google, за да подлъгват macOS потребители да изпълняват опасни команди в Terminal.

Изследователите са идентифицирали поне два варианта на атаката, като над 10 000 потребители вече са достъпили съдържание с вредни инструкции – често без да осъзнават риска.

Какво представляват Claude артефактите

Claude артефактът е публично съдържание, генерирано чрез LLM на Anthropic, което авторът е направил достъпно чрез линк в домейна claude.ai. То може да бъде ръководство, инструкции, код или друг изход от модела, отделен от основния чат.

Важно уточнение, което често остава пренебрегнато: страницата ясно предупреждава, че съдържанието е генерирано от потребител и не е проверено за точност. Именно този модел на доверие се оказва идеален за злоупотреба.

Как потребителите попадат в капана

Екипи от Moonlock Lab (изследователското звено на MacPaw) и компанията за блокиране на реклами AdGuard откриват, че злонамерените резултати се показват при на пръв поглед безобидни търсения като:

• „online DNS resolver“

• „macOS CLI disk space analyzer“

• „HomeBrew“

Чрез спонсорирани резултати в Google Search, жертвите биват пренасочвани към:

• публичен Claude артефакт, или

• Medium статия, имитираща Apple Support.

И в двата случая потребителят е подканен да копира и постави shell команда в Terminal.

Двата варианта на атаката

Анализът разкрива два основни сценария:

Вариант 1:
Командата използва base64 декодиране и директно изпълнение през zsh.

Вариант 2:
Командата сваля отдалечен скрипт чрез curl от компрометиран домейн и го изпълнява веднага.

И в двата случая резултатът е един и същ – изтегляне на malware loader за MacSync инфостилър.

Какво прави MacSync инфостилърът

След изпълнение, зловредният код:

• установява връзка с C2 инфраструктура чрез вграден API ключ и токен;

• маскира се с macOS browser user-agent, за да изглежда като легитимен трафик;

• използва osascript (AppleScript) за кражба на:

  • данни от Keychain,

  • браузърна информация,

  • крипто портфейли.

Откраднатите данни се архивират в /tmp/osalogging.zip и се изпращат към C2 сървър чрез HTTP POST. При неуспех архивът се разделя на части и изпращането се повтаря до осем пъти. След успешна ексфилтрация всички следи се изчистват.

Изследователите от Moonlock Lab потвърждават, че и двата варианта използват една и съща C2 инфраструктура, което ясно сочи към един и същ извършител.

Масов обхват и подценен риск

Злонамереният Claude артефакт е натрупал поне 15 600 преглеждания, а няколко дни по-рано AdGuard отчита над 12 300 – ясен индикатор за мащаба на кампанията.

Това не е изолиран случай. В края на 2025 г. подобни ClickFix атаки вече използваха споделени разговори в ChatGPT и Grok, за да разпространяват AMOS инфостилър. Настоящият случай показва, че злоупотребата вече обхваща и други LLM платформи.

Как да се защитят потребителите

Основното правило остава непроменено, но често пренебрегвано:

Никога не изпълнявайте в Terminal команди, които не разбирате напълно.

Експертите напомнят и един практичен съвет:
ако получите команда от чатбот или публично ръководство, попитайте същия бот в същия контекст дали командата е безопасна. Както са отбелязвали и изследователи от Kaspersky, това често е достатъчно, за да се разкрие злонамерено поведение.