Piratas informáticos estão a abusar de artefactos do Claude e anúncios do Google em campanhas maliciosas para distribuir malware a utilizadores do macOS. O esquema atinge pessoas que procuram por termos específicos no motor de busca e já enganou milhares de vítimas com instruções falsas.
Segundo os investigadores da Moonlock Lab e da AdGuard, a atividade maliciosa já conta com pelo menos duas variantes conhecidas. Mais de 10 mil utilizadores acederam aos conteúdos com comandos perigosos. As pesquisas visadas na burla incluem termos muito específicos, como resolutores de DNS online, analisadores de espaço em disco para a linha de comandos do macOS e o HomeBrew.
Os resultados promovidos encaminham as vítimas para um artefacto público do Claude ou para um artigo no Medium que se faz passar pelo suporte oficial da Apple. Um artefacto do Claude é um conteúdo gerado pela inteligência artificial da Anthropic, que pode ser partilhado publicamente através de uma ligação, apresentando um aviso de que o conteúdo foi gerado pelo utilizador e não tem a sua precisão verificada. Em ambos os cenários, a página instrui o utilizador a copiar e colar um comando no terminal do computador.
O roubo de dados no sistema
Ao executar o comando no terminal, é descarregado um carregador de malware para o MacSync, um software malicioso desenhado para extrair informações sensíveis do sistema operativo. O código utiliza um token fixo e uma chave de interface de programação para comunicar com os servidores dos atacantes, disfarçando-se de um navegador normal do macOS para não levantar suspeitas.
O processo de extração é feito através do AppleScript, que tem a capacidade de recolher dados vitais como o porta-chaves do sistema, informações guardadas no navegador e carteiras de criptomoedas.
Toda esta informação é comprimida num ficheiro ZIP temporário e enviada para o servidor dos piratas informáticos através de um pedido HTTP. Caso a transferência inicial falhe, o ficheiro é dividido em partes mais pequenas e o sistema tenta o envio até oito vezes. Após o sucesso da operação, todas as provas do ataque são automaticamente apagadas para dificultar a deteção. A Moonlock Lab detetou que ambas as variantes comunicam com o mesmo servidor, o que indica que o mesmo grupo está por trás destes ataques. A página maliciosa do Claude já acumulou mais de 15.600 visualizações.
Ameaça alarga-se a outras plataformas de inteligência artificial
Esta não é uma tática isolada. Em dezembro de 2025, uma campanha semelhante utilizou a partilha de conversas do ChatGPT e do Grok para distribuir o malware AMOS, também focado em utilizadores de Mac. Esta nova variação com o Claude demonstra que o abuso se está a expandir rapidamente para outros grandes modelos de linguagem.
Os especialistas recomendam extrema precaução ao executar comandos desconhecidos no terminal. Uma forma simples de verificar a segurança destas instruções é perguntar ao próprio assistente virtual, na mesma conversa, se o comando fornecido é seguro antes de o colocar em prática.
Nenhum comentário
Seja o primeiro!