Поддельные сайты под видом Claude заражают macOS и Windows вредоносным ПО через подставные инструкции

Специалисты по кибербезопасности обнаружили серию поддельных доменов, нацеленных на пользователей Windows и macOS. Схема атаки опирается на так называемую технику ClickFix. Она предполагает, что посетителю показывают сообщение об ошибке или необходимости выполнить действие для продолжения загрузки. Затем следует предложение скопировать и вставить команду в системную консоль. В зависимости от операционной системы жертвы подсовывают разные скрипты.

Если пользователь заходит с компьютера под управлением Windows, ему предлагают открыть PowerShell и выполнить переданный код. Владельцам macOS показывают инструкцию для терминала. Именно такой вариант и привлёк внимание экспертов. В ходе анализа выяснилось, что код, предназначенный для macOS, запускает вредоносную программу SHub Stealer. Это образец так называемого инфостилера (вредоносной программы, нацеленной на кражу данных). Обнаруженный вариант относится к семейству "Meow", что указывает на определённую модификацию исходного вредоноса.

Механизм заражения хорошо продуман. Страница поддельного сайта определяет тип устройства через метаданные браузера. Затем она динамически формирует инструкцию, которая выглядит легитимно. Текст может содержать пояснения, якобы необходимые для исправления ошибки или завершения установки. Жертве предлагают вручную скопировать строку и вставить её в окно терминала или PowerShell. Если пользователь доверчиво выполняет команду, вредоносная программа скачивается и запускается без дополнительных предупреждений.

SHub Stealer - достаточно известный представитель семейства инфостилеров. Он способен собирать учётные данные, сохранённые в браузерах, информацию из криптовалютных кошельков, сессионные файлы и другие конфиденциальные сведения. Вариант "Meow", судя по имеющимся данным, использует более агрессивные методы обхода антивирусных систем. Он может маскировать свою активность и закрепляться в системе, чтобы оставаться незамеченным как можно дольше.

Для пользователя macOS эта атака особенно опасна. Распространено мнение, что компьютеры Apple меньше подвержены вредоносному ПО. Злоумышленники сознательно эксплуатируют этот стереотип. Поддельные сайты с инструкциями для терминала выглядят почти как настоящие сообщения системы. Люди, которые редко сталкиваются с командной строкой, могут не заметить подвоха. Достаточно один раз скопировать код - и злоумышленники получают полный доступ к данным.

Пользователи Windows тоже не защищены. PowerShell - мощный инструмент, который используют и администраторы, и разработчики. Но злоумышленники умело маскируют вредоносную команду, встраивая её в безобидные строки. После выполнения такой команды вредонос загружается из интернета и устанавливается без лишних окон.

Почему именно Claude? Этот сервис набрал огромную популярность в последние месяцы. Сотни тысяч людей ежедневно ищут возможность скачать приложение или открыть веб-версию. Мошенники следуют за спросом, создавая поддельные точки входа. Аналогичные кампании ранее были замечены для ChatGPT и других AI-моделей. Но именно сейчас кампания нацелена на клиентов Anthropic.

Важно понимать, что подобные атаки не требуют сложных уязвимостей. Они опираются на человеческий фактор. Жертве предлагают самостоятельно выполнить действие, которое приводит к заражению. Системные защиты могут не сработать, если пользователь сам даёт разрешение на запуск кода. Именно поэтому такие схемы остаются эффективными год от года.

Какие данные могут быть украдены? SHub Stealer в первую очередь интересуется сохранёнными паролями и файлами cookie. Через них злоумышленники могут получить доступ к личным кабинетам банков, соцсетям, корпоративным порталам. Кроме того, вредонос способен перехватывать ввод с клавиатуры и делать скриншоты. Для обычного пользователя потеря таких данных может обернуться кражей денег или утечкой приватной информации. Для бизнеса это риск компрометации служебной переписки и доступа к закрытым системам.

Учитывая, что кампания продолжает набирать обороты, стоит обращать внимание на адресную строку браузера. Официальный сайт Claude располагается только по адресу claude.ai. Все остальные домены, которые предлагают скачать приложение, должны вызывать подозрение. Не стоит копировать команды из подозрительных окон. Любые инструкции, требующие вставить код в терминал или PowerShell, следует проверять независимо - лучше обратиться к официальной документации.

Для администраторов систем и служб безопасности это ещё один повод напомнить сотрудникам о правилах цифровой гигиены. Желательно блокировать доступ к подозрительным доменам на уровне корпоративного прокси. Также стоит ограничить выполнение скриптов PowerShell и сценариев оболочки для обычных пользователей. Даже если сотрудник случайно скопирует вредоносную команду, система может предотвратить её запуск.

Пока специалисты продолжают мониторинг, очевидно одно: злоумышленники быстро адаптируются к новым трендам. Популярность AI-сервисов делает их идеальной приманкой. Кампания с подделкой страниц Claude - лишь очередная веха в этой тенденции. Пользователям стоит сохранять бдительность, не доверять незнакомым сайтам и никогда не выполнять команды из непроверенных источников.

Domains

• qw4c12qqqqoepwq.com

URLs

• https://claudecontrol.github.io/mac.html
• https://qw4c12qqqqoepwq.com/debug/loader.sh?build=94dabb3c6bb6d13338b7dadcc1432c4a
• https://qw4c12qqqqoepwq.com/debug/payload.applescript?build=94dabb3c6bb6d13338b7dadcc1432c4a

SHA256

• 42bf3414cf6479d2626ca2a9bd11921692da33758678f6be68714d9cb094cffc
• bac16d1f3c80f84dbc7076b7d015cf3fdc2141b9ac776ee45dd4543188d4b3d9