Pratite nas preko RSS-aHakeri zloupotrebljavaju Google Ads i Claude AI za širenje MacSync malvera
Vesti, 18.02.2026, 13:30 PM
Istraživači iz Moonlock Lab-a otkrili su novu ClickFix kampanju u kojoj napadači koriste kompromitovane Google Ads naloge i lažne Claude AI vodiče kako bi naveli korisnike Mac računara da sami instaliraju malver MacSync.
Napad počinje jednostavnom Google pretragom. Prema navodima istraživačkog tima kompanije MacPaw, hakeri su preuzeli kontrolu nad legitimnim, verifikovanim Google Ads nalozima, uključujući nalog kanadske dobrotvorne organizacije Earth Rangers i kolumbijskog prodavca satova TSQ S.A.. Zbog reputacije tih naloga, zlonamerni oglasi prošli su Google-ove bezbednosne provere.
Korisnici koji pretražuju tehničke termine poput „online DNS resolver“, „HomeBrew“ ili „macos cli disk space analyzer“ dobijaju sponzorisane rezultate na vrhu stranice. Ti linkovi vode ka jednom od dva scenarija.
Prvi uključuje javno dostupnu stranicu na zvaničnom Claude AI sajtu pod nazivom „macOS Secure Command Execution“. Istraživači navode da je lažni vodič pregledan više od 15.600 puta. Drugi vodi ka članku na Medium-u koji imitira zvaničnu Apple podršku.
U oba slučaja, korisnicima se prikazuje linija koda uz objašnjenje da će rešiti određeni problem ili instalirati potreban alat. Od njih se traži da komandu kopiraju i nalepе u Terminal. Time započinje infekcija.
Nakon izvršavanja komande, preuzima se infostealer MacSync. Ovaj malver cilja macOS Keychain, gde se čuvaju sistemske lozinke, podatke sačuvane u pregledačima, kao i privatne ključeve kripto novčanika. Ukradeni podaci se pakuju u arhivu pod nazivom osalogging.zip i šalju na server pod kontrolom napadača.
Prema navodima Moonlock Lab-a, oba varijeteta kampanje komuniciraju sa istim komandno-kontrolnim (C2) serverom, što ukazuje da iza napada stoji ista grupa. MacSync se opisuje kao unapređena verzija starijeg malvera Mac.c.
Slične kampanje ranije su koristile i druge AI platforme, uključujući ChatGPT i Grok, za širenje malvera pod maskom tehničke pomoći.
Istraživači upozoravaju da korisnici nikada ne bi trebalo da pokreću Terminal komande čije značenje ne razumeju u potpunosti. Uvek je bezbednije preuzimanje softvera direktno sa zvaničnih sajtova, umesto preko sponzorisanih linkova u pretrazi.
Izdvojeno
Besplatna horor igra na Steamu pretvorila se u horor za igrače: malver krao lozinke i podatke iz kripto novčanika
Besplatna horor igra Beyond The Dark uklonjena je sa Steama nakon što su korisnici otkrili da je sadržala malver za krađu lozinki, podataka iz preg... Dalje
Ugašen servis za digitalno potpisivanje malvera koji je zloupotrebljavao Microsoftovu platformu
Microsoft je saopštio da je ugasio malware-signing-as-a-service (MSaaS) operaciju koja je zloupotrebljavala kompanijin Artifact Signing servis za gen... Dalje
MiniPlasma: stara ranjivost Windowsa ponovo aktuelna
Istraživač bezbednosti poznat pod pseudonimom Nightmare-Eclipse objavio je proof-of-concept exploit pod nazivom MiniPlasma, koji omogućava napadač... Dalje
Hakovan sajt popularnog JDownloadera, korisnici preuzimali trojanizovane instalere
Popularni menadžer za preuzimanje JDownloader nakratko je postao kanal za distribuciju malvera nakon što su napadači kompromitovali zvanični sajt ... Dalje
Nova tužba protiv OpenAI: ChatGPT deli korisničke podatke sa Googleom i Metom?
Protiv kompanije OpenAI podneta je nova kolektivna tužba u kojoj se tvrdi da ChatGPT deli korisničke upite, email adrese i identifikatore korisnika ... Dalje
Pratite nas
Nagrade
Prijatelji
