Mac Malware Via Google Ads et Claude.ai : Décryptage d'une Campagne de Malvertising en 2025

Chaque année, des milliers d’utilisateurs macOS tombent dans des pièges soigneusement orchestrés sur le web. En 2025, une campagne particulièrement préoccupante a émergé : des attaquants exploitent Google Ads et les salons de discussion partagés sur Claude.ai pour distribuer un malware voleur d’identifiants ciblant les ordinateurs Apple. Contrairement aux arnaques habituelles, celle-ci ne s’appuie sur aucun nom de domaine frauduleux à détecter. Le destination affichée dans l’annonce est parfaitement légitime. Voici comment fonctionne cette menace et comment vous protéger.

Comment la campagne de malvertising exploite Claude.ai et Google

La mécanique de cette campagne repose sur un double abus méthodique. Premièrement, les attaquants achètent des espaces publicitaires sponsorisés sur Google. Lorsqu’un utilisateur tape « claude mac download » dans la barre de recherche, une annonce apparaît dans les premiers résultats, affichant claude.ai comme destination. Le lien semble crédible, l’URL affichée correspond au véritable site d’Anthropic. Aucun élément visuel ne trahit l’arnaque à ce stade.

Deuxièmement, et c’est là que réside l’astuce la plus perverse, les instructions malveillantes sont hébergées directement dans des salons de conversation partagés sur la plateforme Claude.ai elle-même. Ces salons, accessibles publiquement, présentent un guide d’installation de « Claude Code on Mac » attribué à « Apple Support ». Ils invitent l’utilisateur à ouvrir le Terminal et à coller une commande qui télécharge silencieusement le malware en arrière-plan. L’utilisateur pense suivre les indications d’un support officiel. En réalité, il exécute lui-même le code hostile sur sa machine.

Le chercheur en sécurité Berk Albayrak, ingénieur chez Trendyol Group, a été le premier à identifier cette campagne en partageant ses conclusions sur LinkedIn. En tentant de reproduire ses résultats, BleepingComputer a découvert un deuxième salon partagé utilisant une infrastructure entièrement distincte, mais une structure d’attaque quasi identique. Les deux salons demeuraient accessibles publiquement au moment de la publication. Cette situation illustre parfaitement la difficulté de détection quand le contenu malveillant cohabite avec un service légitime et respecté.

Les URL de téléchargement du malware identifiées

Les commandes piégées récupèrent un script shell encodé en base64 depuis des domaines compromis. Les chercheurs ont documenté deux variantes distinctes :

• Domaine 1 (signalé par Albayrak) : hxxp://customroofingcontractors[.]com/curl/[hash]
• Domaine 2 (observé par BleepingComputer) : hxxps://bernasibutuwqu2[.]com/debug/loader.sh?build=[hash]

Ces domaines暂且 ne présentent aucun indice visuel suspect lors de l’interaction initiale avec Claude.ai, car c’est le salon partagé qui déclenche le téléchargement, pas la navigation classique. Le payload final est polymorphique : à chaque requête, le serveur distille une version obfuscée différemment, empêchant les outils de sécurité de détecter la menace sur la base d’une signature ou d’un hash connu.

Anatomie du malware macOS : MacSync et ses capacités d’espionnage

Le malware distribué dans cette campagne est une variante de MacSync, un infostealer spécialisé dans l’écosystème Apple. Son fonctionnement se décompose en plusieurs phases, illustrant le niveau de sophistication des opérateurs derrière cette campagne.

Phase de profilage de la victime

Avant de déclencher l’infection, le script exécute une étape de fingerprinting. Il collecte l’adresse IP externe de la machine, le nom d’hôte, la version de macOS installées et la configuration des paramètres régionaux du clavier. Toutes ces données sont transmises au serveur de l’attaquant. Ce comportement signale une approche sélective : les opérateurs ne distribuent pas leur charge utile aveuglément. Ils hiérarchisent leurs cibles avant de leur fournir le stage suivant du malware.

Un élément particulièrement révélateur de cette sélectivité concerne les utilisateurs des régions CIS (Commonwealth of Independent States). Le script vérifie la présence de sources d’entrée clavier configurées pour le russe ou d’autres langues de cette région. Lorsqu’elles sont détectées, le malware s’interrompt immédiatement et envoie un simple signal cis_blocked au serveur de commande, sans déclencher la moindre action hostile. Cette disposition suggère que les opérateurs cherchent à éviter certaines juridictions, possiblement pour des raisons de détectabilité ou de représailles légales.

Exécution en mémoire et exfiltration des données

Les machines qui passent le filtre de profilage reçoivent un second stage de payload. Ce dernier s’exécute via osascript, le moteur de scripting natif de macOS, ce qui permet à l’attaquant d’obtenir une exécution de code à distance sans jamais déposer de binaire ou d’application traditionnel sur le disque. L’empreinte forensique est ainsi minimisée : un analyste qui examinerait le disque de la machine infectée ne trouverait aucun fichier suspect obvious.

Les techniques d’exécution en mémoire comme celles exploitées par la faille React2Shell critique affectant les applications React illustrent la sophistication croissante des vecteurs d’exploitation ciblant les environnements modernes. La variante identifiée par Albayrak se concentre sur le vol pur. Elle extrait et exfiltre les éléments suivants :

Ces données sont conditionnées et envoyées vers le serveur de l’attaquant. Le domaine briskinternet[.]com, identifié dans cette variante, semblait inactif au moment de l’analyse, mais cela ne signifie pas que la menace est neutralisée. Les opérateurs changent régulièrement d’infrastructure.

Pourquoi cette campagne est différente des malvertising classiques

Le malvertising n’est pas une nouveauté. Les campagnes ciblant les utilisateurs recherchant des logiciels populaires comme GIMP, CCleaner ou encore des outils de productivité sont documentées depuis des années. Dans ces scénarios classiques, une annonce Google affiche un domaine au nom rassurant, mais le clic redirige vers un site de phishing lookalike conçu pour voler des informations ou distribuer un installateur piégé. La parade est relativement simple : vérifier l’URL dans la barre d’adresse et se méfier des noms de domaine légèrement modifiés.

La campagne exploitant Claude.ai renverse cette dynamique. Ici, le domaine de destination affiché dans l’annonce est authentique. L’utilisateur clique sur un lien qui le mène effectivement sur claude.ai. Le problème survient uniquement lorsqu’il interagit avec le salon de discussion partagé qui contient les instructions malveillantes. Il n’y a pas de faux site à repérer, pas de faute d’orthographe subtile à détecter, pas de certificat SSL manquant à relever. L’utilisateur navigue sur un service parfaitement légitime et se fait piéger par du contenu hébergé dans ce même service.

Cette approche exploitation un précédent à plusieurs niveaux. En décembre 2024, des campagnes similaires avaient déjà ciblé des utilisateurs de ChatGPT et Grok, démontrant que les plateformes d’intelligence artificielle deviennent des vecteurs d’attaque privilégiés. La campagne actuelle sur Claude.ai confirme cette tendance et l’élève à un nouveau degré de sophistication en combinant l’abus de référencement payant et l’exploitation des fonctionnalités de partage de conversations.

Comment identifier et éviter ces pièges sur macOS

La première règle de sécurité applicable ici est d’ordre comportemental : ne collez jamais de commandes TerminalIssues provenant d’un salon de conversation, d’un article de blog non vérifié ou d’un message vous invitant à « télécharger rapidement un outil indispensable ». Les guides d’installation légitime pour des applications comme Claude Code sur Mac ne nécessitent jamais de coller des commandes obscures dans le Terminal. L’application officielle se télécharge depuis la page de téléchargement dédiée, comme n’importe quel autre logiciel, sans passer par des intermédiaires.

Pour télécharger le client natif de Claude, saisissez l’URL directement dans votre navigateur : https://claude.ai/download. Vous pouvez également l’obtenir via Homebrew avec la commande brew install --cask claude. Dans tous les cas, le processus est стандартный et ne vous demandera jamais de coller du code issu d’un salon de discussion.

Checklist de vérification avant installation

Avant d’installer un logiciel sur votre Mac, appliquez cette vérification méthodique :

1. Vérifiez l’URL affichée dans la barre d’adresse, même si elle semble provenir d’un résultat de recherche sponsorisé.
2. Naviguez directement vers le site officiel plutôt que de cliquer sur une annonce.
3. Méfiez-vous des salons partagés vous demandant de coller des commandes Terminal, quel que soit le contexte ou l’émetteur suggéré.
4. Utilisez un antivirus pour macOS reconnu (Malwarebytes, Intego, ou les solutions EDR comme SentinelOne) capable de détecter les comportements anormaux même sans signature.
5. Consultez les permissions applicatives après toute installation suspecte dans Paramètres > Confidentialité et sécurité.
6. Vérifiez le Keychain régulièrement via l’application Trousseaux d’accès pour identifier d’éventuels accès non autorisés.

Implications pour la sécurité des plateformes d’IA

Cette campagne soulève des questions critiques sur la sécurité des fonctionnalités de partage des assistants conversationnels. Les plateformes comme Claude.ai, ChatGPT et Grok permettent à leurs utilisateurs de rendre leurs conversations publiques ou partageables. Cette fonctionnalité, pensée pour favoriser la collaboration et le partage de connaissances, est désormais détournée par des acteurs malveillants pour servir de canal de distribution malware.

Anthropic et Google ont été contactés par les chercheurs ayant documenté cette campagne. L’enjeu pour les plateformes d’IA est considérable : elles doivent maintenir un équilibre entre l’ouverture collaborative de leurs outils et la sécurité de leurs utilisateurs. Des mesures techniques pourraient inclure l’étiquetage systématique des salons publics avec un avertissement, la détection automatique de patterns de social engineering dans les conversations partagées, ou la limitation de la visibilité des salons contenant des séquences de code Terminal. Par ailleurs, les recherches sur les failles RCE découvertes par Claude AI dans Vim et Emacs illustrent que les vulnérabilités affectant les outils quotidiens représentent un enjeu croissant pour la sécurité des environnements macOS.

En parallèle, la responsabilité des utilisateurs dans la vérification des sources reste centrale. Les statistiques concernant les infections malware sur macOS montrent une progression constante. Selon les données de CrowdStrike et Malwarebytes, le nombre de familles de malware spécifiquement conçues pour macOS a augmenté de plus de 150 % entre 2022 et 2024, avec une concentration accrue sur les voleurs d’identifiants et les backdoors. Les utilisateurs Apple, longtemps persuadés d’être à l’abri simplement par l’usage de leur plateforme, doivent intégrer une posture de vigilance active dans leurs habitudes numériques.

Conclusion : face aux nouvelles tactiques, la prudence reste votre meilleure défense

La campagne de malvertising exploitant Google Ads et les salons partagés de Claude.ai marque une évolution significative dans les techniques d’attaque. Le botnet RonDodox exploitant la faille React2Shell pour cibler les serveurs web et IoT illustre comment les infrastructures d’attaque évoluent également pour compromettre des cibles diverses. En dissimulant les instructions malveillantes derrière la légitimité d’une plateforme reconnue, les attaquants suppriment les repères visuels qui permettaient traditionnellement de détecteur une arnaque. Les annonce sponsorisées pointent vers un domaine authentique, et le contenu piégé réside sur un service tout aussi authentique. Double illusion, double confiance abusée.

Face à cette menace, la solution ne réside pas dans l’évitement technologique mais dans la méfiance méthodique. Treat toute instruction vous demandant d’ouvrir le Terminal et de coller une commande avec la plus grande prudence, quel que soit le contexte qui l’entoure. Les logiciels officiels ne vous demanderont jamais de procéder ainsi. Téléchargez vos applications uniquement depuis les pages officielles, vérifiez les permissions accordées après installation, et maintenez à jour votre solution de sécurité. La vigilance individuelle reste, en 2025 comme demain, la couche de défense la plus fiable contre les campagnes de malvertising de plus en plus sophistiquées.