Дослідники з кібербезпеки виявили нову кампанію зловмисників, яка націлена на користувачів macOS через механізм під назвою ClickFix. Хакери використовують рекламні оголошення в пошукових системах, що ведуть на фальшиві сторінки чат-бота Claude AI від Anthropic. Коли користувач переходить за посиланням, він бачить інтерфейс, що імітує помилку завантаження сторінки. Для «вирішення» проблеми сайт пропонує користувачеві скопіювати команду та вставити її в термінал Mac. Насправді ця команда містить закодований у форматі Base64 скрипт, який завантажує та запускає шкідливе програмне забезпечення безпосередньо в оперативній пам’яті пристрою. Ця техніка дозволяє вірусу уникати традиційних антивірусних сканерів, оскільки на жорсткий диск не записується жоден підозрілий файл. Метою атаки є викрадення паролів, файлів cookie браузера та ключів доступу до криптовалютних гаманців.

Технічні деталі свідчать, що зловмисники використовують спільні чати Claude для створення ілюзії легітимності. Скрипт, що запускається через термінал, є завантажувачем, який встановлює з’єднання з командним сервером хакерів та передає туди конфігураційні дані системи. Ключовою особливістю цієї атаки є використання соціальної інженерії: замість традиційного «завантажте файл», хакери переконують користувачів власноруч виконати код, експлуатуючи довіру до відомих ШІ-брендів. BleepingComputer підтвердив наявність кількох активних доменів, що використовують цю схему. Наслідки успішного виконання такої команди включають повну компрометацію цифрової особистості користувача, оскільки хакери отримують доступ до активних сесій у соціальних мережах та банківських кабінетах. Це підкреслює еволюцію загроз для macOS, яка довгий час вважалася більш захищеною платформою, проте зараз стає дедалі популярнішою ціллю для складних безфайлових атак.