駭客濫用Google廣告與Claude.ai對話分享頁面,對macOS用戶散布惡意程式
來源: iThome | 日期: 2026-05-26 | URL: https://www.ithome.com.tw/news/176139 | 揭露者: Berk Albayrak(Trendyol Group資安工程師)
攻擊手法概述
一種升級版惡意軟體散布手法,以 Claude Code 為誘餌,結合 Google 廣告與 Claude 平台的「對話公開分享(Shared Chats)」功能,針對 macOS 用戶散布 MacSync 惡意程式。
攻擊流程
- 用戶以
Claude download mac為關鍵字搜尋 - Google 廣告出現指向 claude.ai(真實合法網域) 的連結
- 點擊後進入 Claude 對話分享頁面,標題為「Running Claude Code in Mac」,署名「Apple Support」
- 頁面提供「macOS 安裝 Claude Code 步驟教學」,誘導用戶貼上終端機指令
- 實際上該指令會從攻擊者控制的網域下載並安裝 MacSync 惡意程式
- 攻擊者使用 Base64 編碼隱藏連線與下載網址
關鍵特點
相較於一般試圖偽造合法網站的釣魚攻擊,Google廣告指向的不是虛假網站,而是真實、合法的Anthropic網域claude.ai,無法以虛假的網域名稱識別其是否具有惡意。
防護建議
- 直接從 claude.ai 下載應用程式與文件,不經由 Google 廣告轉介
- 參考 Claude 原廠文件取得操作指令,再予以執行
- 不要直接執行來源不明的終端機指令
衍生頁面
- 駭客濫用Google廣告與Claude.ai對話分享頁面對macOS用戶散布惡意程式 — 核心概念頁
- anthropic — Anthropic 公司頁(Claude.ai 平台被濫用)
- google — Google 廣告被濫用