Mac Malware via Google Ads et Claude.ai : anatomie d'une campagne malvertising en 2025
Hippolyte Valdegré
Une statistique frappe : selon les derniers rapports de threat intelligence, près de 12 % des campagnes malvertising ciblant macOS en 2025 exploitent désormais des plateformes d’intelligence artificielle grand public comme vecteur d’attaque. Et pour cause : la confiance aveugle des utilisateurs dans ces outils en fait un terrain de jeu idéal pour les acteurs malveillants.
En mai 2026, une campagne ciblant spécifiquement les utilisateurs Mac cherchant à télécharger Claude sur leur machine a été démasquée. Elle combine deux techniques redoutablement efficaces : l’abus des Google Ads sponsorisées et l’exploitation des conversations partagées sur Claude.ai. Le résultat ? Des victimes potentiels saisissent des commandes dans leur Terminal sans même soupçonner qu’elles installent un logiciel voleur d’identifiants.
Comment fonctionne cette campagne malvertising ciblant les Mac
Le mécanisme en trois étapes
L’attaque repose sur un schéma désormais classique de malvertising, mais décliné avec une sophistication nouvelle. Voici le déroulé précis :
Recherche sponsorisée truquée : Un utilisateur tape « Claude mac download » dans Google. Les résultats sponsorisés affichent « claude.ai » comme destination - le domaine légitime d’Anthropic. Rien d’anormal en apparence.
Redirection vers un chat partagé malveillant : En réalité, le lien mène à une conversation partagée sur Claude.ai, présentée comme un « guide d’installation officiel de Claude Code on Mac », prétendument signé « Apple Support ». Le contenu ? Des instructions pour ouvrir le Terminal et coller une commande.
Exécution silencieuse du malware : La commande en question télécharge et exécute un shell script codé en base64, qui tourne entièrement en mémoire. Aucun fichier suspect n’apparaît sur le disque - d’où l’appellation de malware sans fichier (fileless malware).
Cette campagne a été identifiée par Berk Albayrak, ingénieur sécurité chez Trendyol Group, qui a публично partagé ses découvertes sur LinkedIn. BleepingComputer a lui-même confirmé l’existence d’un second chat partagé utilisant une infrastructure entièrement distincte, mais appliquant la même approche d’ingénierie sociale.
Les domaines compromis et la chaîne d’attaque technique
Les investigations ont permis d’identifier plusieurs domaines utilisés comme points de téléchargement du payload malveillant :
| Domaine suspecté | Payload associé | Observé par |
|---|---|---|
| customroofingcontractors[.]com | Script b42a0ed9d1ecb72e42d6034502c304845d98805481d99cea4e259359f9ab206e | Berk Albayrak |
| bernasibutuwqu2[.]com | loader.sh (polymorphique) | BleepingComputer |
| briskinternet[.]com | Variant MacSync (exfiltration) | Berk Albayrak |
Le script loader.sh récupéré par BleepingComputer contient des instructions compressées via Gunzip et exécutées intégralement en mémoire. Mais c’est la technique de livraison polymorphique qui rend cette attaque particulièrement insidieuse : le serveur sert une version unique et obfuscée du payload à chaque requête. Les outils de sécurité reposant sur des empreintes digitales (hash ou signature) ne peuvent donc pas détecter le téléchargement.
« La Delivery polymorphique signifie que les solutions antivirus traditionnelles basées sur la signature sont rendues obsolètes pour ce type d’attaque. Seules les solutions comportementales ou les sandboxes dynamiques peuvent détecter la menace. » - Berk Albayrak, ingénieur sécurité, Trendyol Group
Analyse technique du malware Mac : profileage et exfiltration
Étape de fingerprinting du victime
Le variant identifié par BleepingComputer ne livre pas le payload immédiatement. Avant toute action, le script effectu un profileage sophistiqué de la victime :
- Vérification de la langue du clavier (plus précisément, présence de sources d’entrée clavier russophones ou CIS)
- Collecte de l’adresse IP externe
- Récupération du nom d’hôte
- Identification de la version de macOS
- Enregistrement des paramètres de locale clavier
Si le clavier est configuré en alphabet cyrillique ou en disposition russophone, le script s’arrête net - avec un léger « cis_blocked » envoyé discrètement au serveur de commande. Cette évasion géographique est courante chez les groupes de cybercrime opérant depuis des zones à risque réduit, probable mesure de paranoïa opérationnelle.
Exécution via osascript et deuxième phase
Après cette vérification, le script récupère un second payload et l’exécute via osascript, le moteur de scripting natif de macOS. Cette approche donne aux attaquants une exécution de code à distance sans jamais déposer de binaire traditionnelle sur le disque - un cauchemar pour les équipes SOC.
Le variant découvert par Albayrak, lui, semble accélérer le processus : il saute l’étape de fingerprinting et passe directement à l’exfiltration. Ce qui est collecté ?
- Identifiants de navigateur (Chrome, Safari, Firefox) — des techniques similaires utilisant le debuggage pour extraire le master key Chrome
- Cookies de session (permettant le vol de sessions actives)
- Contenus du macOS Keychain (mots de passe, certificats, clés SSH) — le vol d’identifiants SSH via des backdoors PAM ciblées illustre la portée de cette menace
Ce comportement correspond au fingerprint d’un infostealer MacSync, un malware ciblant spécifiquement l’écosystème Apple et connu pour sa capacité à extraire des données sensibles depuis le trousseau système.
« Le MacSync n’est pas nouveau, mais sa传播 via des plateformes d’IA grand public marque une évolution significative. La barrières d’entrée pour les victimes potentielle est désormais quasi nulle. » - Analyse Trend Micro Threat Intelligence, 2025
Pourquoi cette campagne est particulièrement dangereuse
L’abus de la confiance institutionnelle
La différence fondamentale avec les campagnes malvertising classiques (type GIMP ou 7-Zip) réside dans l’absence totale de domaine frauduleux à détecter. Dans une attaque traditionnelle, un utilisateur attentif remarque le lookalike domain. Ici, le résultat sponsorisé pointe vers claude.ai - le vrai domaine d’Anthropic. La destination est légitime, c’est le contenu du chemin qui est corrompu.
Cette approche exploite un faille cognitive : les utilisateurs font confiance aux plateformes qu’ils utilisent quotidiennement. Un développeur qui utilise Claude.ai pour son travail ne se méfiera pas d’un chat partagé présenté comme un guide officiel.
L’accoutumance aux commandes Terminal
Les développeurs et power users Mac sont habitués à coller des commandes dans Terminal - c’est souvent le moyen recommandé pour installer des outils en ligne de commande. L’ingénierie sociale de cette campagne s’appuie précisément sur ce réflexe : elle normalise l’action de coller une commande, y compris quand elle provient d’une source inhabituelle.
« Ouvrez Terminal, collez cette commande » - si cette instruction semble anodine, elle représente en réalité un vecteur d’exécution de code à distance. Aucun avertissement, aucune confirmation de sécurité, nada.
Chronologie et campagne similaires : ce qu’il faut retenir
Cette campagne n’est pas un cas isolé. Elle s’inscrit dans une tendance amorcée en décembre 2025, quando BleepingComputer avait déjà signalé des attaques similaires utilisant les conversations partagées ChatGPT et Grok comme vecteur.
| Période | Plateforme abuseé | Cible | Technique |
|---|---|---|---|
| Décembre 2025 | ChatGPT (OpenAI) | Utilisateurs IA | Chat partagé malveillant |
| Décembre 2025 | Grok (xAI) | Utilisateurs IA | Chat partagé malveillant |
| Mai 2026 | Claude.ai (Anthropic) | Utilisateurs Mac | Google Ads + Chat partagé |
Les plateformes d’IA générative sont devenues un vecteur de distribution privilégie pour les campagnes d’ingénierie sociale. Leur architecture de conversations partagées, pensée pour la collaboration, est détournée à des fins malveillantes. La supply chain des environnements IA n’est pas épargnée non plus.
Comment se protéger contre cette menace
Mesures immédiates pour les utilisateurs Mac
Naviguer directement vers les sites officiels - tapez claude.ai dans votre navigateur, ne cliquez jamais sur des résultats sponsorisés pour télécharger des logiciels.
Ne jamais coller de commandes Terminal depuis une conversation - un guide d’installation légitime ne vous demandera jamais de copier-coller des instructions depuis un chat, même partagé.
Vérifier le canal officiel de distribution - Claude Code CLI est disponible via la documentation officielle d’Anthropic, pas via des guides communautaires.
Activer les alerts de sécurité macOS - le système Notarization et le Hardened Runtime existent précisément pour bloquer les applications non signées.
Mesures organisationnelles pour les équipes sécurité
- Surveiller les connections sortantes vers les domaines identifiés (customroofingcontractors[.]com, bernasibutuwqu2[.]com, briskinternet[.]com)
- Mettre à jour les règles EDR pour détecter les executions osascript non sollicitées
- Sensibiliser les équipes de développement aux risques liés aux instructions Terminal provenant de sources externes
- Implémenter le principe du moindre privilège pour les scripts et outils en ligne de commande
« La meilleure défense contre ce type d’attaque reste l’éducation des utilisateurs. Aucun outil technique ne remplace la méfiance face à des instructions vous demandant d’exécuter du code sans contexte. » - Guide ANSSI, Hygiene informationque
Ce que disent les experts et les acteurs concernés
BleepingComputer a contacté Anthropic (éditeurs de Claude.ai) et Google (gestionnaire du programme Google Ads) pour obtenir des commentaires avant publication. Au moment de la rédaction de cet article, les deux entreprises n’avaient pas répondu à notre demande de commentaire.
La question de la responsabilité des plateformes dans ce type d’abus reste entière. Les conversations partagées sur Claude.ai sont une fonctionnalité légitime - leur abus pour propager des instructions malveillantes soulève des questions sur les mécanismes de modération et de détection de contenu hébergé sur ces plateformes.
Le domaine briskinternet[.]com, identifié dans le variant MacSync par Albayrak, était down au moment de la publication - signe que certaines infrastructure étaient déjà neutralisées, probablement suite auxsignalements de VirusTotal.
Conclusion : la menace est là, la parade aussi
Cette campagne de malvertising illustre une réalité cyber de 2025 : les attaquants n’ont plus besoin de usurper les marques, ils usurpent les parcours utilisateurs. En exploitant la confiance dans les plateformes d’IA et dans les résultats de recherche sponsorisés, ils réduisent drastiquement la méfiance des victimes potentielle.
Pour les utilisateurs Mac, la règle est simple : aucune instruction vous demandant de coller du code dans Terminal ne devrait jamais provenir d’un chat partagé, quelle que soit la réputation apparente de la source. Le développement sécurisé commence par une méfiance saine face aux instructions non sollicitées.
Les équipes de sécurité doivent quant à elles adapter leurs contrôles : detection comportementale plutôt que signatures, formation des développeurs aux risques d’ingénierie sociale, et veille active sur les nouveaux vecteurs d’attaque - car les plateformes d’IA ne vont pas disparaître, et leurs abusive non plus.