谷歌广告与Claude.ai共享聊天被武器化,精准投放Mac恶意软件

2026年5月10日，安全工程师贝尔克·阿尔拜拉克（Berk Albayrak）在LinkedIn上公开了一起手法极为精巧的恶意广告攻击活动。攻击者同时滥用了谷歌广告和Anthropic公司Claude.ai的共享聊天功能，将Mac恶意软件精准投送给搜索“Claude mac download”的用户。这起攻击最危险的特征在于：用户全程接触的几乎都是真实可信的平台，唯一的恶意环节被隐藏在一段看似平常的终端命令中。科技媒体BleepingComputer资深作者艾克斯·夏尔马（Ax Sharma）随即对该活动进行了独立验证与深度报道。

攻击链路拆解：三个“合法”阶段构成的陷阱

攻击链路经过精心设计，分为三个环环相扣的阶段，每个阶段都刻意利用了用户对合法平台的信任。

第一阶段：劫持搜索入口。 当用户在谷歌搜索“Claude mac download”时，会看到赞助搜索结果，广告中列出的目标网址赫然显示为Anthropic的合法域名claude.ai。传统恶意广告攻击依赖仿冒域名欺骗用户，但此次攻击的不同之处在于——广告指向的确实是真实网站。

第二阶段：武器化共享聊天。 用户点击广告后，被引导至一个Claude.ai共享聊天页面。该页面被伪装成“Apple Support”发布的“Claude Code on Mac”官方安装指南。阿尔拜拉克识别出这个恶意共享聊天的具体地址，并公开了关键指标。

在独立验证过程中，BleepingComputer又发现了第二个共享聊天页面，正以完全相同的社会工程学结构、使用完全独立的基础设施进行同样的攻击。两个恶意聊天页面在撰稿时仍然公开可访问。

第三阶段：隐蔽执行恶意载荷。 用户按照“指南”的指示打开终端并粘贴命令。该命令采用base64编码隐藏真实的下载URL，用户无法直接辨识目标地址；脚本下载后直接通过管道传送给zsh执行，整个过程不留下明显的文件痕迹。

两个活跃变种的技术纵深对比

材料中披露了两个正在活跃的攻击变种，它们在执行逻辑上存在显著差异，折射出攻击团伙的意图分化。

阿尔拜拉克发现的变种——直取要害的MacSync窃密木马。 该变种跳过任何用户筛选步骤，直奔主题。其SHA-256哈希值为bbd98170ea66c8d13605cb88ad0e18602ef40c0745f7b2c979a8a342a31c1857，被确认为MacSync信息窃取器的变种。该恶意软件直接收割浏览器凭据、Cookie以及macOS钥匙串内容，打包后回传至攻击者控制的域名customroofingcontractors[.]com。阿尔拜拉克在其LinkedIn帖子中同时明确给出了恶意共享聊天的链接、C2及投递域名、以及载荷哈希值，形成了完整的威胁情报闭环。

BleepingComputer发现的变种——多态规避与精确制导。 该变种展现出更高的技术复杂度。攻击者使用另一域名bernasibutuwqu2[.]com投递名为loader.sh的Gunzip压缩脚本。该脚本表现出三项关键技术特征：

其一，内存化执行：loader.sh’是另一组用Gunzip压缩的shell指令，整个压缩脚本完全在内存中运行，磁盘上几乎不留痕迹，显著降低了传统终端安全产品基于文件扫描的检出概率。

其二，多态化投递：BleepingComputer观察到，服务器在每次请求时返回一个唯一混淆版本的载荷——这种多态化投递技术使基于已知哈希值或签名的检测手段难以奏效。

其三，地域性目标筛选：脚本在执行前会检查受害机器是否配置了俄语或独联体地区的键盘输入源。若检测到这些地区的键盘布局，脚本立即退出，并在退出前向攻击者服务器发送一条cis_blocked的静默状态通知。只有通过这一地域筛选的机器，才会进入后续恶意行为。在此之前，脚本还会收集受害者的外部IP地址、主机名、操作系统版本和键盘区域信息，一并回传。这种“先侦察、后投递”的受害者画像流程，表明攻击者在精确筛选目标，有意避开特定地区。

完成筛选后，脚本拉取第二阶段载荷，并通过macOS内置的osascript脚本引擎执行。这意味着攻击者可以在不投递传统应用程序或二进制文件的前提下，获得远程代码执行能力。

真正的危险：当合法URL本身就是威胁

夏尔马在BleepingComputer的报道中，一语道破此次攻击的本质：“当合法URL本身成为威胁，用户便失去了最基础的判断依据。”此次攻击完全颠覆了传统恶意广告的欺骗模式——没有仿冒域名可供辨认，没有钓鱼页面的URL可疑字符需要警惕，广告中显示的、浏览器地址栏里呈现的，都是Anthropic的真实域名。

攻击者之所以能够实现这一劫持，正是利用了Claude共享聊天功能的设计特性：任何人都可以创建共享对话并设置标题。这使得伪造“官方安装指南”具备技术可行性。夏尔马在报道中也明确指出，这并非AI平台共享功能首次被滥用——BleepingComputer于2025年12月就曾报道过针对ChatGPT和Grok用户的类似攻击。这一时间细节揭示出：平台方在数月间并未有效封堵这一已被公开曝光的攻击向量。

安全警示：信任链断裂后的个人防御底线

Bleepingcomputer提出了清晰的安全建议：“用户应直接访问claude.ai下载Claude原生应用，而非点击赞助搜索结果。合法的Claude Code CLI需通过Anthropic官方文档获取，不需要从聊天界面粘贴命令。”他进一步强调了一条应被视为普遍实践的安全准则——无论指令看似来自何处，都应谨慎对待任何要求粘贴终端命令的指引。

这种攻击手法的系统性风险在于： 当谷歌的广告投放系统、Anthropic的内容共享功能、以及用户对官方域名的本能信任这三层合法机制被同时滥用，攻击者就构建起一条完全由“可信”组件构成的攻击链。在此链条中，传统基于黑名单、域名信誉、证书校验的检测手段集体失效。对普通用户而言，区分官方指引与恶意内容的唯一可靠的最后防线，已经收缩到一条简单但绝对的原则：永远不要从非官方渠道执行终端命令，无论指令出现的页面看起来多么权威，无论平台本身的品牌多么可靠。忽略这一原则，意味着将系统的最高控制权亲手交给一个你认为值得信任、实际上已被敌人占领的界面。