Sikkerhetsforskere har avdekket en ny kampanje der angripere bruker AI-innhold som våpen for å spre skadevare. Claude ClickFix-angrepet retter seg mot macOS-brukere ved å presentere tekniske instruksjoner som virker legitime, men som i hemmelighet installerer en infostealer.
I stedet for å utnytte programvarefeil manipulerer angriperne brukeratferd. Ofrene tror de løser et problem eller installerer et verktøy, men starter selv infeksjonen.
Hvordan ofre møter angrepet
Kampanjen begynner med sponsede søkeresultater. Brukere som søker etter utviklerverktøy, systemfikser eller konfigurasjonshjelp ser lenker som virker nyttige og tekniske.
Lenkene fører til sider med AI-genererte guider eller falsk supportdokumentasjon. Instruksjonene leder brukeren gjennom en feilsøkingsprosess som ender med å kopiere en kommando inn i macOS Terminal.
Stegene ser realistiske og detaljerte ut. Siden avanserte brukere ofte kjører terminalkommandoer, føles prosessen rutinemessig og vekker ikke umiddelbar mistanke.
Hva som skjer etter kjøring
Kommandoen utfører ingen reparasjon. I stedet henter den et skjult skript som installerer en loader på systemet. Denne laster deretter ned MacSync-infostealeren i bakgrunnen.
Skadevaren kobler seg til eksterne servere samtidig som aktiviteten skjules som normal trafikk. Infeksjonen fullføres uten synlige varsler, og brukeren merker ikke at systemet er kompromittert.
Hvilke data som stjeles
Etter installasjon begynner infostealeren å samle sensitiv informasjon fra enheten. Den fokuserer på data som muliggjør kontoovertakelse og økonomisk tyveri.
Programmet henter lagrede nettleserlegitimasjoner, nøkkelringoppføringer, autentiseringstokener og kryptolommebokfiler. Informasjonen pakkes og sendes til angriperens infrastruktur.
For å unngå oppdagelse rydder programmet midlertidige filer og reduserer spor etter aktiviteten når dataoverføringen er ferdig.
Hvorfor metoden fungerer
Kampanjen lykkes fordi den angriper tillit i stedet for sårbarheter. Brukere stoler ofte på instruksjoner som virker tekniske, spesifikke og relevante.
AI-genererte guider forsterker denne tilliten. Forklaringene fremstår presise og hjelpsomme, noe som reduserer skepsis og oppmuntrer til kjøring. Dermed blir brukeren selv mekanismen som starter skadevaren.
Anbefalte sikkerhetstiltak
Sikkerhetseksperter anbefaler å behandle terminalkommandoer som kjørbare programmer. Kommandoer som henter eksterne skript eller inneholder kodet innhold bør verifiseres før de kjøres.
Ved usikkerhet bør hver del av kommandoen undersøkes eller sammenlignes med offisiell dokumentasjon. Å kopiere kommandoer direkte fra søkeresultater øker risikoen betydelig.
Konklusjon
Claude ClickFix-angrepet viser hvordan cyberkriminalitet beveger seg mot AI-drevet sosial manipulering. Angripere trenger ikke lenger bryte seg inn i systemer når de kan overtale brukere til å kompromittere seg selv.
Ved å kamuflere skadevare som teknisk veiledning omgår de tradisjonelle forsvar og sikkerhetsrutiner. Å verifisere instruksjoner før kjøring blir avgjørende når AI-generert innhold blir en naturlig del av daglige arbeidsprosesser.
0 svar til “Claude ClickFix-angrep sprer Mac-infostealere”