Contacts
+359 875 32 80 30
Book a Meet
Close

Контакти

Каварна, България
Рияд, Саудитска Арабия

+359 875 328030

sales@diamatix.com

Contacts

Bulgaria, Kavarna
Saudi Arabia, Riyadh

+359 875 328030

sales@diamatix.com

Call us: +359 875 32 80 30
Scan for Breaches
Сканирай за пробиви
Book a Meet
Book a Meet
2151967434
май 12, 2026
Pavlina Nikolova
Новини

Фалшиви Claude AI реклами насочват macOS потребители към infostealer malware

Нова malvertising кампания таргетира macOS потребители чрез фалшиви реклами в Google Search и подвеждащи AI download страници, имитиращи популярни инструменти като Claude AI.

Според публикувани анализи на независими изследователи, атакуващите използват комбинация от:

  • sponsored Google Ads
  • trusted hosting платформи
  • ClickFix social engineering
  • фалшиви AI desktop installers

за да разпространяват macOS infostealer malware, известен като MacSync.

Кампанията е показателна за нарастващия интерес на threat actors към:

  • macOS среди
  • AI-themed phishing
  • credential theft
  • browser session hijacking

Как работи атаката

Атаката започва със sponsored Google Ads, които се визуализират при търсене на:

  • Claude AI
  • AI desktop tools
  • productivity applications
  • developer software

Рекламите изглеждат легитимни и често използват:

  • визуална идентичност, близка до оригиналната
  • trusted hosting services
  • SEO optimization tactics

След кликване потребителят се пренасочва към фалшива landing page, хоствана през:

  • Google Sites
  • Framer
  • Claude.ai shared chats
  • други легитимни cloud платформи

Използването на trusted инфраструктура затруднява:

  • domain reputation filtering
  • web filtering решения
  • автоматичното блокиране на malicious content

ClickFix техниката

Кампанията използва и ClickFix social engineering техника.

Потребителят вижда:

  • фалшиво warning съобщение
  • проблем при инсталацията
  • fake compatibility issue
  • “необходим fix” за приложението

След това жертвата е подканена:

  • да изпълни terminal command
  • да инсталира “desktop helper”
  • или да стартира malicious installer

Това позволява malware payload-ът да бъде стартиран ръчно от самия потребител, без exploit или vulnerability.

Какво прави malware-ът

След изпълнение MacSync функционира като macOS infostealer.

Според анализите malware-ът може да събира:

  • browser credentials
  • saved passwords
  • session tokens
  • cryptocurrency wallet data
  • browser cookies
  • authentication information

След това информацията се изпраща към attacker-controlled infrastructure.

Изследователите съобщават и за:

  • честа ротация на domains
  • dynamic redirect infrastructure
  • смяна на hosting providers
  • кратък lifecycle на malicious pages

Защо това има значение

Тази кампания показва няколко важни тенденции:

1. AI branding вече се използва масово за phishing

Популярността на AI tools създава високо доверие и ниско ниво на подозрение сред потребителите.

2. macOS вече не е secondary target

Все повече infostealer кампании таргетират:

  • developers
  • designers
  • executives
  • crypto users
  • SaaS environments

които често използват macOS устройства.

3. Trusted platforms се превръщат в delivery layer

Google Sites, Framer и други cloud услуги се използват като междинна инфраструктура за заобикаляне на security filtering.

DIAMATIX перспектива

Този тип кампания не разчита на exploit chain или zero-day vulnerability.

Тук основният риск идва от:

  • user trust
  • легитимно изглеждаща инфраструктура
  • social engineering
  • trusted cloud services
  • manual user execution

Това прави detection значително по-труден, особено когато:

  • traffic изглежда легитимен
  • домейните са trusted
  • няма exploit activity
  • payload execution е иницииран от самия потребител

CISO анализ

Този случай е добър пример защо modern phishing detection вече не може да разчита само на:

  • reputation checks
  • domain blacklists
  • traditional AV signatures

Организациите трябва да имат visibility върху:

  • unusual script execution
  • browser-to-terminal activity
  • abnormal macOS process chains
  • suspicious authentication token access
  • cloud-hosted delivery patterns

Особено при AI-themed campaigns, user awareness остава критичен фактор.

Какво означава това за вашата среда

  • Този тип атака разчита на trusted cloud infrastructure и user-driven execution, а не на exploit-и
  • Откриването зависи от endpoint visibility и behavioral monitoring, особено при browser и terminal activity
  • Реакцията изисква комбинация от user awareness, endpoint telemetry и cloud traffic analysis

👉 Бихте ли засекли browser-to-terminal execution на macOS устройство?
👉 Имате ли visibility върху suspicious AI-themed phishing activity?
👉 Виж как подобни attack chains се анализират и обработват в реална operational среда.

Свържете се с  DIAMATIX

  • Източници

    • Independent threat research published on X by Berk Albayrak and g0njxa
    • Public malware infrastructure analysis
    • Industry reporting on ClickFix and macOS infostealer campaigns
    • Google Ads malvertising research (May 2026)

     

Абонирайте се за най-новите актуализации и анализи

Получавайте актуални новини и експертни анализи за киберсигурност

Please enable JavaScript in your browser to complete this form.

By Pavlina Nikolova

Recent Posts

5756
юни 11, 2026
Pavlina Nikolova

Уязвимост в ServiceNow поставя фокус върху контрола на достъпа в SaaS средите

Новини
Read More
17238
юни 11, 2026
Pavlina Nikolova

Тестване на Disaster Recovery (DR): Ако възстановяването никога не е било тествано, то реално не съществува

БлогОперативна устойчивост
Read More
AI Strategy and Consulting

Provide expert guidance on developing an AI strategy

Recent comments
Няма коментари за показване.
юни 2026
П В С Ч П С Н
1234567
891011121314
15161718192021
22232425262728
2930