Säkerhetsforskare har upptäckt en ny kampanj där angripare använder AI-innehåll som vapen för att sprida skadlig kod. Claude ClickFix-attacken riktar sig mot macOS-användare genom att presentera tekniska instruktioner som verkar legitima men i hemlighet installerar en infostealer.
I stället för att utnyttja programvarubuggar manipulerar angriparna beteendet. Offren tror att de löser ett problem eller installerar ett verktyg, men startar själva infektionen.
Hur offer möter attacken
Kampanjen börjar med sponsrade sökresultat. Användare som söker efter utvecklarverktyg, systemfixar eller konfigurationshjälp ser länkar som verkar hjälpsamma och tekniska.
Länkarna leder till sidor med AI-genererade guider eller falsk supportdokumentation. Instruktionerna guidar användaren genom felsökning som slutar med att kopiera ett kommando till macOS Terminal.
Stegen ser realistiska och detaljerade ut. Eftersom avancerade användare ofta kör terminalkommandon känns processen normal och väcker inte misstanke direkt.
Vad som händer efter körning
Kommandot utför ingen reparation. I stället hämtar det ett dolt skript som installerar en loader i systemet. Den laddar sedan ner MacSync-infostealern i bakgrunden.
Skadlig kod ansluter till fjärrservrar samtidigt som trafiken maskeras som normal aktivitet. Infektionen slutförs utan synliga varningar och offret märker inte att systemet komprometterats.
Vilka data som stjäls
Efter installation börjar infostealern samla känslig information från enheten. Den fokuserar på data som möjliggör kontokapning och ekonomisk stöld.
Programmet extraherar sparade webbläsaruppgifter, nyckelringsposter, autentiseringstoken och kryptoplånboksfiler. Informationen paketeras och skickas till angriparens infrastruktur.
För att undvika upptäckt rensar programmet temporära filer och minskar spår av sin aktivitet efter att dataöverföringen slutförts.
Varför metoden fungerar
Kampanjen lyckas eftersom den riktar in sig på förtroende i stället för sårbarheter. Användare litar ofta på instruktioner som verkar tekniska, specifika och relevanta.
AI-genererade guider förstärker detta förtroende. Förklaringarna låter exakta och hjälpsamma, vilket minskar skepsis och uppmuntrar körning. Användaren blir därmed den som kör den skadliga koden.
Rekommenderade skyddsåtgärder
Säkerhetsexperter rekommenderar att terminalkommandon behandlas som körbara filer. Kommandon som hämtar externa skript eller innehåller kodad text bör verifieras innan de körs.
Vid osäkerhet bör varje del av kommandot granskas eller jämföras med officiell dokumentation. Att blint kopiera kommandon från sökresultat ökar risken kraftigt.
Slutsats
Claude ClickFix-attacken visar hur cyberbrottslighet förskjuts mot AI-driven social manipulation. Angripare behöver inte längre bryta sig in i system när de kan övertala användare att kompromettera sig själva.
Genom att maskera skadlig kod som teknisk vägledning kringgår de traditionella försvar och säkerhetsrutiner. Att verifiera instruktioner före körning blir avgörande när AI-genererat innehåll blir en naturlig del av vardagliga arbetsflöden.
0 svar till ”Claude ClickFix-attack sprider Mac-infostealers”