Hackers maken misbruik van Google Ads en legitieme gedeelde chats op Claude.ai in een actieve malvertising-campagne gericht op macOS-gebruikers. Personen die zoeken op termen als "Claude mac download" krijgen gesponsorde zoekresultaten te zien die verwijzen naar de officiële Claude.ai website, maar leiden naar instructies die malware op hun Mac installeren.

De campagne werd ontdekt door Berk Albayrak, security engineer bij Trendyol Group, die zijn bevindingen deelde op LinkedIn. Hij vond een gedeelde Claude.ai chat die zich voordoet als een officiële installatiehandleiding van "Claude Code on Mac", zogenaamd afkomstig van "Apple Support". Deze chat begeleidt gebruikers bij het openen van Terminal en het plakken van een commando dat stilletjes malware downloadt en uitvoert op de Mac.

Bij verificatie van Albayraks bevindingen trof BleepingComputer een tweede gedeelde Claude chat aan die dezelfde aanval uitvoert via een volledig andere infrastructuur. Beide chats volgen een identieke structuur en social engineering-aanpak, maar gebruiken verschillende domeinen en payloads. Op het moment van schrijven waren beide chats publiekelijk toegankelijk.

De malware-instructies in de chats downloaden een gecodeerd shellscript van domeinen zoals customroofingcontractors[.]com en bernasibutuwqu2[.]com. Het shellscript wordt volledig in het geheugen uitgevoerd, waardoor er weinig sporen op de schijf achterblijven.

De variant die BleepingComputer analyseerde controleert eerst of het toetsenbord is ingesteld op Russisch of een CIS-regio. Als dat het geval is, stopt het script zonder actie te ondernemen en meldt dit stilletjes aan de server van de aanvaller. Alleen systemen die deze controle passeren krijgen de volgende fase van de aanval. Het script verzamelt vervolgens informatie zoals het externe IP-adres, hostnaam, OS-versie en toetsenbordinstellingen, en stuurt deze terug naar de aanvaller. Dit wijst op een selectieve aanpak van de slachtoffers.

Daarna wordt een tweede payload gedownload en uitgevoerd via osascript, de ingebouwde scripting-engine van macOS, waarmee de aanvaller remote code execution krijgt zonder een traditionele applicatie te installeren. De variant die Albayrak vond, slaat de profilering over en voert direct de aanval uit. Deze variant steelt browsercredentials, cookies en inhoud uit de macOS Keychain en exfiltreert deze naar de server van de aanvaller. Onderzoekers identificeren dit als een variant van de MacSync macOS infostealer.

Malvertising blijft een veelgebruikte methode om malware te verspreiden. Eerdere campagnes richtten zich op gebruikers die zochten naar software zoals GIMP, waarbij Google Ads leidden naar phishing-sites met nagemaakte domeinen. Deze campagne is anders omdat de advertenties verwijzen naar het legitieme domein van Anthropic, claude.ai, waardoor het lastiger is om de aanval te herkennen.