تله بدافزاری در قلب هوش مصنوعی؛ چگونه چت‌های Claude کاربران مک را آلوده می‌کنند؟

دوران سایت‌های فیک و دامنه‌های مشکوک به پایان رسیده است؛ حالا هکرها مستقیماً از خانه رقیب به شما حمله می‌کنند! گزارش جدید محققان امنیتی فاش کرد که مهاجمان با سوءاستفاده از سیستم تبلیغات گوگل (Google Ads) و قابلیت اشتراک‌گذاری چت در هوش مصنوعی Claude.ai، موفق شده‌اند بدافزارهای سرقت اطلاعات را روی سیستم‌های مک (macOS) نصب کنند. این حمله به قدری فریبنده است که حتی کاربران نیمه‌حرفه‌ای را هم به دام می‌اندازد.

خبرنگار:

بهراد یوسفی

۱. مکانیزم حمله: وقتی آدرس سایت کاملاً واقعی است!

برخلاف حملات کلاسیک که شما را به یک سایت جعلی مثلاً cloude.ai می‌بردند، در این کمپین جدید:

تبلیغ واقعی: وقتی کاربر عبارت «Claude download mac» را جستجو می‌کند، با یک نتیجه اسپانسر شده روبرو می‌شود که آدرس واقعی آن claude.ai است.
میزبانی در چت: هکرها دستورالعمل نصب بدافزار را نه در یک سایت خارجی، بلکه در قالب یک چت به اشتراک گذاشته شده (Shared Chat) در خودِ پلتفرم کلود قرار داده‌اند. چون آدرس سایت معتبر است، سیستم‌های امنیتی و کاربران شک نمی‌کنند.

۲. مهندسی اجتماعی با نام پشتیبانی اپل

در اسکرین‌شات‌های افشا شده، دیده می‌شود که هکرها عنوان چت را "Claude Code on Mac" گذاشته و آن را به Apple Support نسبت داده‌اند.

فریب ترمینال: چت از کاربر می‌خواهد برای نصب «سریع و ایمن»، یک کد پیچیده را در ترمینال مک کپی و اجرا کند.
کد مخرب: این کد در ظاهر مجموعه‌ای از حروف نامفهوم (Base64) است، اما در پس‌زمینه، یک اسکریپت را دانلود می‌کند که مستقیماً به حافظه رم (RAM) منتقل شده و بدون برجا گذاشتن ردی روی هارد، اجرا می‌شود.

۳. بدافزار MacSync؛ جاروی اطلاعات خصوصی

تحقیقات نشان می‌دهد این اسکریپت، نسخه‌ای از اینفواستیلر MacSync را روی سیستم اجرا می‌کند. وظایف این بدافزار عبارتند از:

سرقت کوکی‌های مرورگر و نشست‌های فعال (Sessions).
استخراج رمزهای عبور ذخیره شده در Keychain مک.
دسترسی به اطلاعات حساس کیف پول‌های دیجیتال و فایل‌های شخصی.

۴. فیلتر هوشمند: هکرها به دنبال چه کسانی نیستند؟

نکته جالب اینجاست که این بدافزار دارای یک سیستم «خودتخریبی» است. اسکریپت قبل از اجرا، کیبورد سیستم را چک می‌کند؛ اگر زبان کیبورد مربوط به کشورهای منطقهCIS (روسیه و همسایگانش) باشد، بدافزار غیرفعال شده و از سیستم خارج می‌شود. این نشان می‌دهد که اپراتورهای این حمله احتمالاً در این مناطق مستقر هستند و نمی‌خواهند توجه پلیس محلی خود را جلب کنند.

توصیه‌های پیشگیرانه تحریریه ۲۴ نیوز:

هرگز کد ترمینال کپی نکنید: کپی کردن کدهایی که محتوای آن‌ها را نمی‌فهمید (مخصوصاً کدهایی که با curl یا wget شروع می‌شوند) در ترمینال، درست مثل دادن کلید خانه به یک غریبه است.
تبلیغات گوگل را نادیده بگیرید: برای دانلود نرم‌افزار، همیشه آدرس سایت را دستی تایپ کنید و از بخش Sponsored Results استفاده نکنید.
منبع رسمی کجاست؟ برای نصب ابزارهای کلود، فقط به مستندات رسمی در سایت اصلی (Anthropic) مراجعه کنید. اپلیکیشن‌های رسمی کلود هرگز از شما نمی‌خواهند کدهای مبهم را در ترمینال اجرا کنید.