Arnaque Claude.ai sur Mac : comment les pirates exploitent Google Ads et les chats partagés pour installer des malwares

Apollinaire Monteclair

Une campagne malveillante sans précédent cible les utilisateurs Mac en quête de Claude

En 2025, les cyberattaques ciblant les utilisateurs de macOS ont connu une escalade préoccupante. Une nouvelle campagne de malvertising particulièrement sophistiquée exploite simultanément deux canaux légitimes - Google Ads et les chats partagés de Claude.ai - pour piéger les utilisateurs à la recherche d’un téléchargement de l’application Claude pour Mac. Cette technique novatrice rend les traditionnelles alertes de phishing obsolètes, car le site de destination affiché dans l’annonce est parfaitement authentique.

Les chercheurs en sécurité de Trendyol Group, menés par l’ingénieur Berk Albayrak, ont identifié cette campagne en mai 2026. Elle fonctionne selon un schéma remarquablement simple : l’utilisateur recherche « Claude mac download » via Google, tombe sur une annonce sponsorisée semblantpointer vers claude.ai, clique, puis est redirigé vers un chat partagé de Claude.ai contenant de fausses instructions d’installation. Ces instructions demandent de coller une commande dans le Terminal, installs silencieusement un malware sur Mac capable de voler des identifiants, des cookies et des données du Keychain.

Cette campagne illustre une évolution inquiétante des techniques d’attaque : plutôt que de créer des faux domaines, les pirates abusent des plateformes légitimes pour héberger leurs instructions malveillantes, rappelant la sophistication croissante des attaques Rowhammer sur les GPU Nvidia. Voici comment fonctionne cette arnaque, comment la reconnaître, et surtout comment vous protéger.

Anatomie d’une attaque de malvertising sur macOS

Le mécanisme de la fausse publicité Google

La première phase de l’attaque repose sur l’achat de publicités sponsorisées sur Google aux dépens des utilisateurs cherchant à télécharger Claude pour Mac. Concrètement, lorsqu’un utilisateur tape « Claude mac download » dans la barre de recherche Google, des résultats sponsorisés apparaissent en haut de la page. Ces annonces affichent claude.ai comme destination, ce qui inspire confiance car le domaine semble légitime.

Il s’agit pourtant d’une variante perfectionnée d’une technique déjà observée avec des logiciels comme GIMP, où des annonces Google pointaient vers des sites de phishing. La différence cruciale ici : les attaquants n’ont pas besoin de créer un faux domaine. Ils exploitent une faille dans la fonctionnalité de chats partagés de Claude.ai, une fonctionnalité permettant à tout utilisateur de rendre ses conversations publiques.

Cette approche présente plusieurs avantages pour les attaquants :

  • Réduction des coûts : pas besoin de créer et maintenir des infrastructure de phishing coûteuses
  • Bypass des outils de sécurité : les traditionnelles listes noires de domaines suspects deviennent inutiles
  • Apparence légitime : la destination URL étant authentique, aucun indicateur d’alerte pour l’utilisateur
  • Exploitation de la confiance : les utilisateurs se fient aux plateformes qu’ils utilisent quotidiennement

Les chats partagés de Claude.ai transformés en vecteur d’attaque

Une fois l’utilisateur redirigé depuis l’annonce Google, il atterrit sur une conversation partagée de Claude.ai présentée comme un « guide d’installation officiel de Claude Code on Mac », attribué faussement à « Apple Support ». Ce chat walks l’utilisateur through a seemingly legitimate installation process that actually executes malicious commands.

Les instructions suivent un schéma précis et persuasif :

  1. Présentation initiale : le chat se fait passer pour un assistant officiel d’Anthropic
  2. Instructions paso a paso : invitation à ouvrir le Terminal macOS
  3. Commande à coller : une ligne de code apparemment anodine
  4. Confirmation mensongère : assurance que tout est normal et que l’installation est en cours

La commande en question télécharge en réalité un script shell encoded en Base64 depuis un serveur distant. Les domaines identifiés incluent customroofingcontractors[.]com et bernasibutuwqu2[.]com, tous deux servant le même loader.sh polymorphique.

Cette technique d’abus des chats partagés n’est pas nouvelle : en décembre 2025, des campagnes similaires avaient déjà ciblé des utilisateurs de ChatGPT et de Grok. Les attaquants semblent avoir affiné leur approche pour 2026, ciblant spécifiquement l’écosystème macOS avec des outils d’Infostealer sophistiqués.

Décryptage technique du malware MacSync

Architecture du loader.sh et execution en mémoire

Le script loader.sh servi par les serveurs des attaquants mérite une analyse approfondie. Ce script est compressé avec Gzip et encodé en Base64, ce qui complique significativement sa détection par les solutions antivirus traditionnelles. Contrairement aux malwares conventionnels qui déposent des fichiers sur le disque, ce loader s’exécute entièrement en mémoire,不留 aucune trace obvious sur le système de fichiers.

Voici les caractéristiques techniques principales identifiées par les chercheurs :

  • Polymorphisme : chaque requête au serveur retourne une version obfuscated différente du payload
  • Vérification géographique : le script vérifie la langue du clavier (cyrillique ou paramètres CIS/Russie)
  • Collecte d’informations : adresse IP externe, nom d’hôte, version de l’OS, locale clavier
  • Exécution via osascript : le shell utilise l’engine de scripting natif de macOS pour lancer la charge utile

Cette architecture en mémoire représente un défi considérable pour les outils de sécurité. Selon les données de VirusTotal analysées par BleepingComputer, les premières détections par les solutions antivirus grand public peuvent prendre plusieurs heures après la modification du code.

Le check géo-bloquant par clavier

Une feature particulièrement notable du malware réside dans sa vérification de la locale clavier. Le script examine la configuration des sources d’entrée du système : si un clavier russe ou CIS est détecté, le malware s’arrête immédiatement et envoie un simple ping « cis_blocked » au serveur de commande.

Cette technique de ciblage géo-sélectif suggère plusieurs hypothèses :

  • Évitement des serveurs de sécurité russophones : les attaquants ciblent probablement des victimes en dehors de certaines juridictions
  • Réduction du bruit : moins de détections dans les environnements de recherche en sécurité
  • Segmentation économique : orientation vers des victimes ayant potentiellement des comptes en dollars/euros

Cette approche confirme que les campagnes de malware modernes ne sont plus des attaques massives opportunistes, mais des opérations ciblées et raffinées sélectionnant soigneusement leurs victimes.

Le vol de credentials et données du Keychain

Le variant identifié par Berk Albayrak, particulièrement dangereux, se concentre sur l’exfiltration de données sensibles. Une fois la vérification géographique passée, le malware exécute une variante de MacSync, un Infostealer spécialisé pour macOS.

Les données collectées et exfiltrées incluent :

  • Identifiants de navigateurs : usernames et passwords stockés dans Safari, Chrome, Firefox
  • Cookies de session : permettant de reprendre des sessions authentifiées
  • Contenus du Keychain macOS : mots de passe Wi-Fi, certificates, clés SSH
  • Données d’applications : préférences et caches contenant des informations potentiellement sensibles

L’ensemble de ces données est ensuite compressé et envoyé vers le serveur des attaquants (briskinternet[.]com), créant une base de données de victimisation monétisable sur le dark web.

Analyse des risques pour les entreprises et particuliers

Évaluation de la surface d’exposition

Les données показывают que cette campagne afecte particulièrement les utilisateurs :

  • Recherchant activement des outils d’IA pour améliorer leur productivité
  • N’étant pas familiers avec les procédures d’installation standard
  • Travaillant souvent depuis des réseaux non gérés (domicile, cafés)
  • Utilisant leur Mac personnel pour des tâches professionnelles

Les utilisateurs de Claude Code, souvent développeurs ou professionnels techniques, constituent une cible de choix car leurs machines contiennent généralement des credentials cloud, clés API et accès à des systèmes critiques.

Impact potentiel et vectorisation横向

La compromission d’une machine Mac via ce malware peut déclencher une cascade d’attaques :

ÉtapeAction malveillanteImpact potentiel
1Vol des credentials navigateurAccès aux services web (banques, emails, Cloud)
2Extraction des clés SSH (PAMdoora, backdoor exploitant PAM pour voler les identifiants)Movement lateralf vers serveurs d’entreprise
3Collecte des cookiesRéplication de sessions pour accès prolongé
4Exfiltration du KeychainAccès aux réseaux Wi-Fi et certificates internes

La surface d’attaque s’étend bien au-delà du simple vol d’identifiants. Un Mac compromis peut servir de point d’entrée vers l’infrastructure d’entreprise, notamment pour les développeurs utilisant des accès SSH ou des credentials Cloud (AWS, GCP, Azure).

Stratégies de détection et de mitigation

Signaux d’alerte pour les utilisateurs

Plusieurs indicateurs peuvent vous aider à identifier une tentative d’attaque :

  • Publicités Google pour des téléchargements logiciels légitimes
  • Instructions demandant de coller des commandes Terminal provenant de chats ou sites web
  • Attribution à « Apple Support » pour des logiciels tiers comme Claude
  • Urgence dans le ton (« installez maintenant », « mise à jour critique »)
  • Domaines de téléchargement non officiels dans les résultats de recherche

Les utilisateurs doivent privilégier le téléchargement direct depuis les sites officiels plutôt que via des résultats de recherche, qu’ils soient organiques ou sponsorisés. Le site officiel de Claude Code CLI reste accessible via la documentation officielle d’Anthropic.

Mesures techniques de protection

Pour les organisations, plusieurs couches de défense peuvent être déployées :

  1. Formation des utilisateurs : sensibilisation aux techniques de malvertising et d’ingénierie sociale, incluant les alertes sur les correctifs de sécurité critiques à déployer
  2. Monitoring réseau : détection des connexions vers les domaines malveillants identifiés
  3. EDR sur endpoints : détection des comportements anormaux (exécution osascript, connections réseau suspectes)
  4. Segmentation réseau : limitation de la propagation en cas de compromission
  5. Authentification forte : réduction de l’impact du vol de credentials via MFA

« Face à des campagnes de plus en plus sophistiquées exploitant des plateformes légitimes, la vigilance des utilisateurs reste la première ligne de défense. Aucun outil technique ne remplace le jugement critique face à des instructions inhabituelles. » - Berk Albayrak, Trendyol Group

Indicateurs de compromission (IOCs)

Les organisations doivent surveiller les indicateurs suivants :

  • Connexions sortantes vers customroofingcontractors[.]com ou bernasibutuwqu2[.]com
  • Appels à osascript avec des arguments suspects
  • Modifications du Keychain non autorisé
  • Trafic réseau vers braskinternet[.]com
  • Analyse mémoire inhabituelle par des processus inconnus

Recommandations officielles et bonnes pratiques

Position des plateformes impliquées

Anthropic et Google ont été contactés par les chercheurs en sécurité. Les mesures correctives attendues incluent :

  • Suppression des chats partagés malveillants identifiés
  • Renforcement des politiques d’utilisation des chats partagés
  • Filtrage accru des publicités sponsorisées autour des logiciels de sécurité
  • Mise en place de systèmes de signalement pour les utilisateurs

Checklist de sécurité pour les utilisateurs Mac

  • ✓ Toujours naviguer directement vers les sites officiels (claude.ai, anthropic.com)
  • ✓ Ignorer les résultats sponsorisés pour les téléchargements logiciels
  • ✓ Ne jamais coller de commandes Terminal provenant de chats ou sites web
  • ✓ Vérifier l’URL finale avant toute action
  • ✓ Activer l’authentification à deux facteurs sur tous les services
  • ✓ Utiliser un gestionnaire de mots de passe plutôt que le stockage natif
  • ✓ Maintenir macOS et les applications à jour
  • ✓ Installer un antivirus reconnu même sur Mac

Conclusion : la vigilance comme rempart

Cette campagne de malvertising exploitant Google Ads et Claude.ai représente une évolution significative dans les techniques d’attaque cybernétique. En utilisant des plateformes légitimes comme vecteur d’attaque, les pirates réduisent drastiquement les chances de détection et maximisent la confiance des victimes.

Les particularités de cette campagne méritent d’être soulignées : l’utilisation de chats partagés pour remplacer les traditionnels sites de phishing, le ciblage géo-sélectif via vérification des paramètres clavier, et l’exécution en mémoire du malware pour éviter la détection par les outils conventionnels.

Pour vous protéger efficacement, adoptez dès maintenant les réflexes suivants :

  • Ne faites jamais confiance aux instructions de Terminal provenant de sources non vérifiées
  • Accédez toujours directement aux sites officiels pour les téléchargements
  • Signalez tout chat partagé suspect aux plateformes concernées
  • Formez votre entourage aux risques du malvertising

La sécurité de vos systèmes dépend avant tout de votre vigilance quotidienne. Face à des attaquants toujours plus créatifs, la méfiance vis-à-vis des instructions non sollicitées demeure votre meilleure protection contre le malware macOS et les campagnes de fraude en ligne.