Business
Trending
TechPulse op WhatsApp Windows 11 Philips Hue Alles over e-bikes
Nieuws
Steven Kins

Google-advertentie met Claude-chat besmet macOS met malware

Claude 3.5 sonnet
© Anthropic
Cybercriminelen gebruiken opnieuw vindingrijke methodes. Via Google-advertenties en Claude-chats misleiden ze hun slachtoffers om macOS-malware te installeren.

BleepingComputer waarschuwt op basis van onderzoek van Trendyol Group-beveiligingsexpert Berk Albayrak voor een nieuwe methode die macOS-apparaten besmet met malware. Een combinatie van Google‑advertenties en Claude-chats dienen om je te overtuigen een commando te plakken dat alles in werking stelt.

Zoek je op Google naar ‘Claude mac download’, dan kan je een gesponsorde advertentie te zien krijgen. Die ziet er niet alleen legitiem uit, hij lijkt ook te verwijzen naar het echte domein claude.ai. Klikt je erop, dan kom je toch elders terecht. Je ziet een gedeelde Claude‑chat die moet dienen als een installatiehandleiding van een fake Apple Support. Die chat zet gebruikers aan om een commando in Terminal te plakken dat uiteindelijk malware downloadt en uitvoert.

Bij deze methode hebben de aanvallers geen nepwebsite gebouwd, maar misbruiken ze simpelweg de gedeelde chat-functie van Claude.ai. Daardoor ziet de URL er heel echt uit. Er blijken bovendien verschillende varianten van dezelfde aanval te circuleren. Die hebben telkens een andere infrastructuur en payloads, maar hanteren dezelfde social‑engineeringtechnieken. De instructies in de chats tonen base64‑gecodeerde scripts die een eerste payload ophalen. Die worden volledig in het geheugen uitgevoerd, waardoor ze weinig sporen achterlaten.

Variant van MacSync

De malware zelf gedraagt zich afhankelijk van de variant telkens iets anders, wat het moeilijker maakt om te ontdekken. In de versie die Bleeping Computer kon onderzoeken, kreeg men eerst een check of de gebruiker een Russisch of CIS-toetsenbord (voormalige Sovjetregio) gebruikt. Indien ja, stopt de aanval. Anders begint het ontvreemden van browserwachtwoorden, cookies en zelfs Keychain‑gegevens. De gestolen informatie, inclusief IP-adres, internethost, OS-versie en toetsenbordversie, gaat vervolgens richting de servers van de aanvallers. Volgens de onderzoeker is dit een variant van de bekende MacSync‑infostealer.

Dit is opnieuw een voorbeeld dat malvertising, het misbruiken van advertenties om malware te verspreiden, steeds geavanceerder wordt. Eerdere campagnes misbruikten zoekopdrachten naar software zoals GIMP of Homebrew. Door nu Claude te misbruiken, bereiken aanvallers een nog groter publiek, dat niet per se technisch is aangelegd.

Sowieso is het geen goed idee om Terminal‑commando’s uit te voeren die afkomstig zijn uit chats, advertenties of onbekende bronnen. Wil je Claude downloaden, dan ga je altijd het best naar Anthropic zelf.

Uitgelicht artikel Microsoft Teams nieuwe app Krijg je plots hulp via Teams? Nee, het is een malwareaanval
Google Voeg TechPulse.be toe als favoriete bron op Google!
beveiligingclaudegoogle
Steven Kins
Gadgets en technologie zijn de stokpaardjes van Steven. Bij elke nieuwe smartphone test hij als eerste de camera's op hun kwaliteiten. Fietsen met of zonder motortje vormen zijn andere passie.

Gerelateerde artikelen

Nieuwsbrief

Volg ons

Instagram
YouTube
Google Voeg TechPulse.be toe als favoriete bron op Google!
€50,00 korting op de Dyson PencilWash: compacte Wet&Dry-stofzuiger

€50,00 korting op de Dyson PencilWash: compacte Wet&Dry-stofzuiger

Bespaar nu

Nieuw op TechPulse

Business