2026-03-03 09:26:24 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 威胁行为者利用GoogleAds推广伪装成macOS安全指南的恶意ClaudeAI项目，并通过Medium文章冒充苹果官方支持，诱使用户执行恶意命令下载MacSync信息窃取软件。该恶意软件窃取钥匙串凭证、浏览器数据和加密货币钱包，并通过a2abotnet[.]com等C2服务器外传数据。建议用户避免执行未知来源的终端命令，组织应部署终端检测方案监控可疑活动。 综合评分： 78 文章分类： 威胁情报,恶意软件,社会工程学,终端安全,安全意识

cover_image

威胁行为者利用 Claude Artifacts 和 Google Ads 来攻击 macOS 用户

原创

ZM ZM

暗镜

2026年2月16日 09:00 辽宁

一场精心策划的恶意软件活动，通过谷歌赞助的搜索结果和合法平台（包括Anthropic 的 Claude AI和 Medium）针对 macOS 用户。

该攻击活动已经通过两种不同的攻击变种，利用用户对现有在线服务的信任，影响了超过 15,000 名潜在受害者。

第一种攻击途径利用 Google Ads 来推广伪装成合法 macOS 安全指南的恶意 Claude AI 程序。

当用户搜索“在线 DNS 解析器”时，他们会遇到一个赞助链接，该链接会将他们引导至一个名为“macOS 安全命令执行”的 Claude 公共项目。

这篇虚假指南指示用户将一条经过 base64 编码的命令粘贴到终端应用程序中。该命令会解码并执行一个恶意 shell 脚本，该脚本会下载MacSync 信息窃取恶意软件。

一旦执行，该恶意软件就会使用硬编码的身份验证令牌和 API 密钥与其位于 a2abotnet[.]com/dynamic 的命令和控制服务器建立通信。

为了逃避检测，该恶意软件会伪造合法的 macOS 浏览器 User-Agent 字符串，使其网络流量看起来像是正常的网页浏览活动。

该有效载荷会获取一个 AppleScript 组件，该组件会执行实际的数据窃取操作，目标是敏感信息，例如钥匙串凭证、浏览器数据和加密货币钱包文件。

Moonlock Lab 的网络安全研究人员发现，被盗数据在通过 HTTP POST 请求泄露到 a2abotnet[.]com/gate 之前，会被压缩到 /tmp/osalogging.zip 中。

该恶意软件包含复杂的重试机制，用于处理大型数据传输，包括分块上传（最多可尝试 8 次重试）和指数退避。数据传输成功后，该恶意软件会删除暂存文件以掩盖其踪迹。

第二种攻击变种的目标是通过 apple-mac-disk-space.medium[.]com 上发布的 Medium 文章，攻击搜索“macos cli disk space analyzer”的用户。

本文冒充苹果官方支持团队，并采用了与ClickFix 相同的社会工程学手法。然而，此变种使用了双层编码和不同的托管基础设施。

该恶意命令使用字符串连接技巧（cur””l 而不是 curl）来绕过简单的模式匹配检测系统和 YARA 规则。

这两种变种都体现了威胁行为者滥用合法平台和可信服务来传播恶意软件的日益增长的趋势。

利用谷歌广告传播恶意软件凸显了验证来源的重要性，即使这些来源出现在赞助搜索结果中也是如此。

用户在从任何在线来源复制和执行终端命令时都应格外谨慎，无论该平台看起来多么合法。

建议 macOS 用户避免执行来自未知来源的终端命令。对于声称来自 Apple 或其他可信供应商的支持文章，应核实其真实性。

组织应实施终端检测解决方案，该方案能够监控可疑的终端活动以及与未知命令和控制服务器的网络连接。

国际奥委会表

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《威胁行为者利用 Claude Artifacts 和 Google Ads 来攻击 macOS 用户》