駭客濫用Google廣告與Claude.ai對話分享頁面,對macOS用戶散布惡意程式

來源: iThome | 日期: 2026-05-26 | URL: https://www.ithome.com.tw/news/176139 | 揭露者: Berk Albayrak(Trendyol Group資安工程師)

攻擊手法概述

一種升級版惡意軟體散布手法,以 Claude Code 為誘餌,結合 Google 廣告與 Claude 平台的「對話公開分享(Shared Chats)」功能,針對 macOS 用戶散布 MacSync 惡意程式

攻擊流程

  1. 用戶以 Claude download mac 為關鍵字搜尋
  2. Google 廣告出現指向 claude.ai(真實合法網域) 的連結
  3. 點擊後進入 Claude 對話分享頁面,標題為「Running Claude Code in Mac」,署名「Apple Support」
  4. 頁面提供「macOS 安裝 Claude Code 步驟教學」,誘導用戶貼上終端機指令
  5. 實際上該指令會從攻擊者控制的網域下載並安裝 MacSync 惡意程式
  6. 攻擊者使用 Base64 編碼隱藏連線與下載網址

關鍵特點

相較於一般試圖偽造合法網站的釣魚攻擊,Google廣告指向的不是虛假網站,而是真實、合法的Anthropic網域claude.ai,無法以虛假的網域名稱識別其是否具有惡意。

防護建議

  • 直接從 claude.ai 下載應用程式與文件,不經由 Google 廣告轉介
  • 參考 Claude 原廠文件取得操作指令,再予以執行
  • 不要直接執行來源不明的終端機指令

衍生頁面