Los usuarios que buscan "Claude mac download" pueden encontrar resultados de búsqueda patrocinados que parecen enlazar a *claude.ai*, pero en su lugar los dirigen a instrucciones que instalan malware en sus Macs.  ## Chats Compartidos de Claude Armados para Atacar a Usuarios de macOS La campaña fue detectada por **Berk Albayrak**, un ingeniero de seguridad en Trendyol Group, quien compartió sus hallazgos en LinkedIn.  Albayrak identificó un chat compartido de Claude.ai que se presenta como una guía oficial de instalación de "Claude Code on Mac", atribuida a "Apple Support". El chat guía a los usuarios a través de la apertura de Terminal y la pegada de un comando, que descarga y ejecuta silenciosamente malware en su Mac. Mientras intentaba verificar los hallazgos de Albayrak, BleepingComputer descubrió un **segundo** chat compartido de Claude que lleva a cabo el mismo ataque a través de una infraestructura completamente separada. Los dos chats siguen una estructura idéntica y un enfoque de ingeniería social, pero utilizan diferentes dominios y payloads. Ambos chats eran accesibles públicamente en el momento de la redacción:  ## ¿Qué hace el malware de macOS? Las instrucciones base64 mostradas en el chat compartido de Claude descargan un script shell codificado desde dominios como: * En la variante vista por Albayrak [[VirusTotal](https://www.virustotal.com/gui/file/ed5ed79a674972d1506dd8d68e8e13658125267ade86bfcb1ab794e2b49e50ac/detection)]: hxxp://customroofingcontractors[.]com/curl/b42a0ed9d1ecb72e42d6034502c304845d98805481d99cea4e259359f9ab206e * En la variante vista por BleepingComputer [[VirusTotal](https://www.virustotal.com/gui/file/a833ad989b68dad582a1b591b8cf63466e79c850ff72916cf5d4c4a7f6bc650e?nocache=1)]: hxxps://bernasibutuwqu2[.]com/debug/**loader.sh**?build=a39427f9d5bfda11277f1a58c89b7c2d El 'loader.sh' (servido por el segundo enlace anterior) es otro conjunto de instrucciones shell comprimidas con Gunzip:  Este script shell comprimido se ejecuta completamente en memoria, dejando poca traza obvia en el disco. La variante identificada por BleepingComputer comienza verificando si la máquina tiene fuentes de entrada de teclado de la región rusa o de la CEI configuradas. Si es así, el script sale sin hacer nada, enviando un ping silencioso de estado *cis_blocked* al servidor del atacante en su salida. Solo las máquinas que pasan esta verificación reciben la siguiente etapa:  Antes de continuar, el script también recopila la dirección IP externa de la víctima, el nombre de host, la versión del sistema operativo y la configuración regional del teclado, enviando todo de vuelta al atacante. Este tipo de perfilado de víctima antes de la entrega del payload sugiere que los operadores son selectivos sobre a quién apuntan. Luego, el script descarga un payload de segunda etapa y lo ejecuta a través de *osascript*, el motor de scripting integrado de macOS. Esto le da al atacante ejecución remota de código sin necesidad de dejar caer una aplicación o binario tradicional. Sin embargo, la variante identificada por Albayrak parece omitir los pasos de perfilado. Va directamente a la ejecución. Recolecta credenciales de navegador, cookies y contenidos del Keychain de macOS, los empaqueta y los exfiltra al servidor del atacante. Los investigadores han identificado esto como una variante del infostealer de macOS **MacSync**:  *El dominio briskinternet[.]com mostrado anteriormente en la variante identificada por Albayrak parecía estar inactivo en el momento de la redacción.* ## Cuando la URL legítima es la amenaza El malvertising se ha convertido en un mecanismo de entrega recurrente para malware. BleepingComputer ha informado previamente sobre campañas similares dirigidas a usuarios que buscan software como **GIMP**, donde un anuncio convincente de Google listaba un dominio de aspecto legítimo pero llevaba a los visitantes a un sitio de phishing de aspecto similar. Esta campaña invierte eso, ya que no hay un dominio falso que detectar. Ambos anuncios de Google vistos aquí apuntan al dominio real de **Anthropic**, *claude.ai*, ya que los atacantes están alojando sus instrucciones maliciosas dentro de la propia función de chat compartido de Claude. La URL de destino en el anuncio es genuina. Sin embargo, no es la primera vez que los atacantes abusan de los chats compartidos de plataformas de IA de esta manera. En diciembre, BleepingComputer informó sobre una campaña similar dirigida a usuarios de **ChatGPT** y Grok. Los usuarios deben navegar directamente a claude.ai para descargar la aplicación nativa de Claude, en lugar de hacer clic en los resultados de búsqueda patrocinados. El Claude Code CLI legítimo está disponible a través de la documentación oficial de Anthropic y no requiere pegar comandos desde una interfaz de chat. Es una buena práctica tratar en general con precaución cualquier instrucción que le pida que pegue comandos de terminal, independientemente de dónde parezcan provenir esas instrucciones. BleepingComputer se puso en contacto con Anthropic y Google para obtener comentarios antes de la publicación. ## El 99% de lo que Mythos encontró sigue sin parchear. AI encadenó cuatro zero-days en un exploit que eludió tanto los sandboxes del renderizador como los del sistema operativo. Se avecina una ola de nuevos exploits. En la Cumbre de Validación Autónoma (12 y 14 de mayo), vea cómo la validación autónoma y rica en contexto encuentra lo que es explotable, demuestra que los controles se mantienen y cierra el ciclo de remediación. Reclama tu Lugar