Фальшивые страницы Claude распространяют стилер ACR через рекламу Google

Недавно специалист по кибербезопасности зафиксировал новую волну таких атак. Вредоносная реклама в результатах поиска Google ведёт на страницы, которые внешне почти неотличимы от настоящего сайта Claude. Адреса этих ловушек часто маскируются под ссылки на Google Sites - например, домен sites.google[.]com. При этом для пользователей macOS и Windows показывается различный контент. На компьютерах Apple жертву просят выполнить команды терминала, а на ПК с Windows предлагают скачать установщик, который на самом деле является вредоносным архивом.

Исследователь рассказал о конкретном примере, обнаруженном 25 мая 2026 года. Фальшивая страница убеждала пользователя нажать кнопку "Скачать для Windows" и следовать простым инструкциям - распаковать архив и запустить файл. На деле эти действия приводили к заражению стилером ACR (программой, ворующей пароли, куки и другую конфиденциальную информацию). После успешного запуска вредоносное ПО устанавливало связь с командным сервером для передачи украденных данных.

Цепочка компрометации оказалась многоступенчатой. Первоначальная загрузка происходила с домена primemetricsa[.]com по адресу hxxps[:]//primemetricsa[.]com/1518925. Это был ZIP-архив размером около 2,4 мегабайта. Однако архив был повреждён - стандартные средства его не распаковывали, что могло быть сделано намеренно для обхода антивирусов или усложнения анализа. Следующим звеном служил PowerShell-скрипт размером более 4 мегабайт, который скачивался с адреса hxxps[:]//6ryuefl.creativecommunityinfo[.]art/Camel-91267b64-989f-49b4-89b4-9e015844d42d. Этот скрипт, судя по всему, загружал и запускал основную вредоносную нагрузку.

Примечательно, что в цепочке фигурировал ещё один файл - обычное JPEG-изображение с сайта i.ibb[.]co (хэш 47fa746422f1bf6b7712dc6803378e6a995488007193a7441d790f70d204728f). Картинка размером 5256×5256 пикселей не содержала видимых признаков внедрённого кода, но почему‑то участвовала в процессе заражения. Возможно, она использовалась как контейнер для стеганографии или служила триггером для обфускации действий PowerShell.

После успешного внедрения вредоносное ПО начинало обмениваться данными с командным сервером, расположенным по адресу yw.enhanceblabber[.]cc. Трафик шёл по защищённому протоколу HTTPS, что затрудняло его выявление сетевыми экранами. Судя по зафиксированным сетевым соединениям, злоумышленники получали полный контроль над заражённой системой.

Особую тревогу вызывает тот факт, что атака использует сразу несколько обходных техник. Во‑первых, злоумышленники размещают поддельные сайты на вполне легитимной платформе Google Sites, что позволяет обходить базовые репутационные фильтры. Во‑вторых, они применяют вредоносную рекламу - пользователь сам переходит по ссылке, доверяя поисковой выдаче. В‑третьих, многозвенная доставка (архив, скрипт, картинка) усложняет работу антивирусов и песочниц.

Стилер ACR известен как один из активно развивающихся инструментов для кражи данных. Он собирает сохранённые пароли из браузеров, данные банковских карт, файлы cookie и сессии аутентификации. Украденная информация затем перепродаётся в теневых даркнет-магазинах или используется для дальнейших атак, включая угон аккаунтов и финансовое мошенничество.

Для рядового пользователя главный совет остаётся неизменным: не скачивать программное обеспечение вне официальных магазинов приложений или сайтов разработчиков. Любое предложение установить популярную программу из рекламы или сомнительного сайта должно вызывать подозрение. Администраторам корпоративных сетей стоит обратить внимание на блокировку рекламы в поисковых системах на рабочих устройствах, а также настроить контроль запуска PowerShell и ограничить выполнение скриптов. Использование решений класса EDR (система обнаружения и реагирования на конечных точках) позволило бы своевременно выявить подозрительное поведение на ранних стадиях - в частности, запуск скрипта из интернета или необычные сетевые соединения.

Данная атака демонстрирует, что злоумышленники продолжают адаптироваться, эксплуатируя доверие пользователей к поисковым системам и популярным ИИ-сервисам. Вероятно, количество поддельных страниц Claude и аналогичных мошеннических схем будет только расти, и защита от них требует как технологических мер, так и повышения цифровой грамотности.

Domains

• yw.enhanceblabber.cc

URLs

• https://6ryuefl.creativecommunityinfo.art/Camel-91267b64-989f-49b4-89b4-9e015844d42d
• https://fairpoint29.com/
• https://i.ibb.co/Xx16sbMz/init-block.jpg
• https://primemetricsa.com/1518925

SHA256

• 47fa746422f1bf6b7712dc6803378e6a995488007193a7441d790f70d204728f
• 70b5ecc110e074dbca92932c0e840ea3492ea0a43c3f215b71392c12b02213b2
• a14c3ecf5eb3d2543358482e43dc765dbf9ee7a4bec7571f5ecb8829ca719692