Пользователи macOS снова оказались под прицелом злоумышленников. Последняя волна атак использует поддельные объявления о популярных инструментах - языковой модели Claude и пакетном менеджере Homebrew. Вместо обещанного софта жертвы получают вредоносную программу MacSync Stealer, которая выкачивает конфиденциальные данные.
Описание
Claude и Homebrew - крайне востребованные продукты среди разработчиков и технических специалистов. Именно эти категории пользователей обычно имеют доступ к корпоративным репозиториям, закрытым ключам и критическим настройкам. Успешная атака на одного такого сотрудника может открыть злоумышленникам путь в инфраструктуру целой компании. Во-вторых, злоумышленники применяют социальную инженерию нового поколения - так называемую технику ClickFix, которая заставляет людей самостоятельно выполнять опасные команды.
Схема атаки выглядит следующим образом. Злоумышленники размещают в поисковых системах и на сайтах объявлений платную рекламу, которая внешне ничем не отличается от официальных ссылок на загрузку Claude или Homebrew. Пользователь кликает по такому объявлению и попадает на поддельную страницу, которая точь-в-точь копирует дизайн настоящего сайта. Там жертве предлагают скачать обновление или установочный файл. Но вместо привычной кнопки загрузки посетитель видит инструкцию скопировать некий код и вставить его в окно терминала.
Это и есть техника ClickFix. Её главная опасность в том, что человек сам запускает вредоносную команду, а значит, система безопасности macOS (Gatekeeper, нотаризация приложений) не блокирует угрозу - ведь пользователь действует от своего имени. После того как код выполнен, на экране появляется запрос на ввод системного пароля. Как поясняют эксперты, это необходимо для установки дополнительного компонента, который закрепляется в системе и даёт стилеру доступ к связке ключей (Keychain), файлам браузеров и учётным записям.
Исследователи из компании, занимающейся мониторингом угроз, обнаружили четыре поддельные страницы, которые маскируются под официальные сайты Claude и Homebrew. Все они принадлежат одной кампании, нацеленной исключительно на macOS. При этом авторы атаки не ограничиваются одной платформой: объявления о Claude также перенаправляют пользователей Windows на вредоносные программы для этой ОС, что указывает на масштабную и хорошо спланированную операцию.
Сам MacSync Stealer, судя по имеющимся данным, относится к классу инфостилеров (вредоносных программ, предназначенных для кражи личных данных). После заражения он собирает файл с метаинформацией, где указаны название вредоносной программы и сборочный тег. Это, вероятно, используется злоумышленниками для подсчёта успешных заражений и определения версий вредоноса. Среди похищаемых данных - сохранённые пароли из браузеров (Chrome, Safari, Firefox), данные кредитных карт, cookie-файлы, содержимое системной связки ключей, а также файлы с определённых директорий (например, папки разработчика, SSH-ключи, конфигурации VPN).
Особую тревогу вызывает то, что стилер запрашивает именно системный пароль. Мало кто из пользователей заподозрит неладное, когда стандартный диалог macOS просит авторизоваться для установки программного обеспечения. Однако в данном случае этот пароль сразу уходит злоумышленникам, открывая им доступ к зашифрованным данным и возможность выполнять любые команды с привилегиями администратора.
Последствия для бизнеса могут быть катастрофическими. Если учётная запись разработчика скомпрометирована, атакующий получает доступ к кодовой базе, токенам CI/CD и внутренним репозиториям. Утечка SSH-ключей позволяет подключаться к серверам без дополнительной аутентификации. Похищенные cookie-файлы дают возможность обходить двухфакторную аутентификацию на многих сайтах. В результате компания может потерять не только данные, но и контроль над собственной инфраструктурой.
Судя по датам, указанным в технических заметках, самые свежие инциденты зафиксированы 19 мая 2026 года, то есть атаки продолжаются буквально каждый день. Это значит, что вредоносная реклама всё ещё активна, а злоумышленники регулярно меняют домены и поддельные страницы, чтобы обходить блокировки.
Как защититься от подобной угрозы? Прежде всего, стоит помнить, что ни один официальный продукт - ни Claude, ни Homebrew - никогда не попросит пользователя копировать команды в терминал для установки. Homebrew устанавливается одной строкой в терминале, но эта команда официальная, её можно проверить на странице brew.sh. Любое отклонение от этой процедуры - повод насторожиться. Не менее важно отключить автоматический поиск обновлений через рекламные баннеры и использовать только прямые ссылки с официальных сайтов или проверенных репозиториев (например, GitHub). Для корпоративных сред стоит внедрить политику запрета установки неподписанного ПО, а также использовать решения класса EDR (системы обнаружения и реагирования на конечных точках), которые выявляют аномальное поведение процессов.
Тем не менее ключевой урок этой истории - доверие к рекламе в поисковиках снова оказывается смертельной ловушкой. Злоумышленники эксплуатируют самую слабую часть любой защиты - человеческую психологию. Пока пользователи будут слепо верить красивым объявлениям и вводить пароль по первой просьбе, такие атаки будут продолжаться. Единственный надёжный способ избежать заражения - сознательная осторожность и проверка любого источника загрузки, даже если он выглядит как оригинал.
Индикаторы компрометации
Domains
- cashlessend.com
- cloudpuput.com
- drivinguber.com
- elitefenceanddeck.com
- spotlessridesdetailing.com
- whatisbred.com
URLs
- http://cashlessend.com/curl/6645bf61bd5c69d8692c5c7d4521af6143158d25d0b1b7dd213ef9757602b39a
- http://drivinguber.com/dynamic?txd=6645bf61bd5c69d8692c5c7d4521af6143158d25d0b1b7dd213ef9757602b39a
- http://drivinguber.com/gate?buildtxd=6645bf61bd5c69d8692c5c7d4521af6143158d25d0b1b7dd213ef9757602b39a&
- http://elitefenceanddeck.com/curl/5b7250991558c1089d217b180d9418df77886996c22f8f319d7f640895e03381
- http://elitefenceanddeck.com/curl/6e2d25066bc1db68a10d55189c7c0bae6443d5178fd4310808270e261236ce30
- http://elitefenceanddeck.com/dynamic?txd=5b7250991558c1089d217b180d9418df77886996c22f8f319d7f640895e03381
- http://elitefenceanddeck.com/dynamic?txd=6e2d25066bc1db68a10d55189c7c0bae6443d5178fd4310808270e261236ce30
- http://elitefenceanddeck.com/gate?buildtxd=5b7250991558c1089d217b180d9418df77886996c22f8f319d7f640895e03381&
- http://elitefenceanddeck.com/gate?buildtxd=6e2d25066bc1db68a10d55189c7c0bae6443d5178fd4310808270e261236ce30&
- http://spotlessridesdetailing.com/curl/b42a0ed9d1ecb72e42d6034502c304845d98805481d99cea4e259359f9ab206e
- http://spotlessridesdetailing.com/dynamic?txd=b42a0ed9d1ecb72e42d6034502c304845d98805481d99cea4e259359f9ab206e
- http://spotlessridesdetailing.com/gate?buildtxd=b42a0ed9d1ecb72e42d6034502c304845d98805481d99cea4e259359f9ab206e&
- https://cloudpuput.com
- https://cxotoday.com/ote/
- https://opclaude.github.io/app/
- https://whatisbred.com/
