Usuários que buscam por "Claude mac download" podem encontrar resultados de busca patrocinados que parecem linkar para *claude.ai*, mas em vez disso levam a instruções que instalam malware em seus Macs.  ## Chats Compartilhados do Claude Armados para Alvejar Usuários de macOS A campanha foi detectada por **Berk Albayrak**, um engenheiro de segurança do Trendyol Group, que compartilhou suas descobertas no LinkedIn.  Albayrak identificou um chat compartilhado do Claude.ai que se apresenta como um guia oficial de instalação "Claude Code on Mac", atribuído ao "Apple Support". O chat guia os usuários através da abertura do Terminal e colagem de um comando, que silenciosamente baixa e executa malware em seu Mac. Ao tentar verificar as descobertas de Albayrak, o BleepingComputer descobriu um **segundo** chat compartilhado do Claude realizando o mesmo ataque através de infraestrutura completamente separada. Os dois chats seguem uma estrutura e abordagem de engenharia social idênticas, mas usam diferentes domínios e payloads. Ambos os chats estavam publicamente acessíveis no momento da escrita:  ## O que o malware para macOS faz? As instruções base64 mostradas no chat compartilhado do Claude baixam um script shell codificado de domínios como: * Na variante vista por Albayrak [[VirusTotal](https://www.virustotal.com/gui/file/ed5ed79a674972d1506dd8d68e8e13658125267ade86bfcb1ab794e2b49e50ac/detection)]: hxxp://customroofingcontractors[.]com/curl/b42a0ed9d1ecb72e42d6034502c304845d98805481d99cea4e259359f9ab206e * Na variante vista pelo BleepingComputer [[VirusTotal](https://www.virustotal.com/gui/file/a833ad989b68dad582a1b591b8cf63466e79c850ff72916cf5d4c4a7f6bc650e?nocache=1)]: hxxps://bernasibutuwqu2[.]com/debug/**loader.sh**?build=a39427f9d5bfda11277f1a58c89b7c2d O 'loader.sh' (servido pelo segundo link acima) é outro conjunto de instruções shell comprimidas com Gunzip:  Este script shell comprimido é executado inteiramente na memória, deixando poucos rastros óbvios no disco. A variante identificada pelo BleepingComputer começa verificando se a máquina possui fontes de entrada de teclado em russo ou da região da CEI configuradas. Se sim, o script sai sem fazer nada, enviando um ping silencioso de status *cis_blocked* para o servidor do atacante em seu caminho de saída. Apenas máquinas que passam nesta verificação recebem o próximo estágio:  Antes de prosseguir, o script também coleta o endereço IP externo da vítima, nome do host, versão do SO e localidade do teclado, enviando tudo de volta para o atacante. Esse tipo de perfil da vítima antes da entrega do payload sugere que os operadores estão sendo seletivos sobre quem visam. O script então baixa um payload de segundo estágio e o executa através do *osascript*, o motor de script integrado do macOS. Isso dá ao atacante execução remota de código sem nunca descartar um aplicativo ou binário tradicional. A variante identificada por Albayrak, no entanto, parece pular as etapas de perfilamento. Ela vai direto para a execução. Ela coleta credenciais de navegador, cookies e conteúdos do macOS Keychain, os empacota e os exfiltra para o servidor do atacante. Pesquisadores identificaram isso como uma variante do **MacSync**, um infostealer para macOS:  *O domínio briskinternet[.]com mostrado acima na variante identificada por Albayrak parecia estar fora do ar no momento da escrita.* ## Quando o URL legítimo é a ameaça Malvertising se tornou um mecanismo de entrega recorrente para malware. O BleepingComputer já relatou campanhas semelhantes visando usuários que buscam por softwares como **GIMP**, onde um anúncio convincente do Google listava um domínio de aparência legítima, mas levava os visitantes a um site de phishing semelhante. Esta campanha inverte isso, pois não há domínio falso para identificar. Ambos os anúncios do Google vistos aqui apontam para o domínio real da **Anthropic**, *claude.ai*, já que os atacantes estão hospedando suas instruções maliciosas dentro do próprio recurso de chat compartilhado do Claude. O URL de destino no anúncio é genuíno. Não é, no entanto, a primeira vez que atacantes abusam de chats compartilhados de plataformas de IA dessa maneira. Em dezembro, o BleepingComputer relatou uma campanha semelhante visando usuários de **ChatGPT** e Grok. Os usuários devem navegar diretamente para claude.ai para baixar o aplicativo Claude nativo, em vez de clicar em resultados de busca patrocinados. O Claude Code CLI legítimo está disponível através da documentação oficial da Anthropic e não requer a colagem de comandos de uma interface de chat. É uma boa prática tratar com cautela quaisquer instruções que peçam para colar comandos de terminal, independentemente de onde essas instruções pareçam vir. O BleepingComputer contatou a Anthropic e o Google para comentários antes da publicação. ## 99% do que a Mythos encontrou ainda não foi corrigido. A AI encadeou quatro zero-days em um único exploit que contornou os sandboxes de renderização e do sistema operacional. Uma onda de novos exploits está chegando. No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles funcionam e fecha o ciclo de remediação. Garanta sua Vaga