Arnaque Claude.ai Mac : comment des hackers détournent Google Ads et les chats partagés pour installer des malware sur votre Mac

Comment des attaquants transforment les recherches Claude Mac en piège malware via Google Ads et chats partagés

En mai 2026, une campagne malvertising d’une précision redoutable a ciblé les utilisateurs Mac cherchant à installer Claude Code. En apparence, rien ne distinguait les résultats sponsorisés Google des genuine annonces. Le domaine de destination affichait claude.ai, authentique. Pourtant, les victimes se sont retrouvées avec un infostealer en mémoire,leurs identifiants et cookies volés sans qu’aucun fichier suspect n’apparaisse sur leur disque. Cette campagne illustre une évolution préoccupante : les attaquants n’ont plus besoin de falsifier un domaine pour piéger leurs cibles. Ils exploitent désormais les fonctionnalités légitimes des plateformes d’IA pour héberger leurs instructions malveillantes, rendant la détection traditionnelle quasi inopérante.

Anatomie d’une campagne de malvertising sur macOS ciblant les recherches Claude

Le point de départ : une recherche anodine qui tourne au piège

L’attaque commence exactement là où un utilisateur lambda tape sa requête. Un internaute souhaitant installer Claude Code sur son Mac tape « Claude mac download » dans Google. Il tombe sur un résultat sponsorisé qui affiche claude.ai comme domaine de destination. Aucune raison immédiate de soupçonner quoi que ce soit. L’URL est correcte, le nom du site correspond. L’utilisateur clique, arrive réellement sur claude.ai, mais c’est ici que le piège se referme.

L’équipe de BleepingComputer a documenté cette campagne en mai 2026. Berk Albayrak, ingénieur sécurité chez Trendyol Group, a été le premier à alerter la communauté via LinkedIn. En tentant de reproduire ses conclusions, les journalistes de BleepingComputer ont eux-mêmes découvert un deuxième chat partagé Claude menant la même attaque via une infrastructure entièrement distincte. Les deux chats suivaient une structure et une ingénierie sociale identique, mais utilisaient des domaines et des payloads différents, signe d’une opération coordonnée impliquant au minimum deux groupes d’acteurs.

La tactique repose sur un abus de la fonctionnalité de chats partagés de Claude.ai. Les attaquants publient des conversations publiques présenté comme un guide d’installation officiel de « Claude Code on Mac », attribué faussement à « Apple Support ». Ces chats guident l’utilisateur étape par étape : ouvrir le Terminal, coller une commande, et hop, le malware s’exécute silencieusement. Le victime pense suivre les instructions d’un guide légitime. Elle ne sait pas qu’elle vient d’autoriser l’exécution de code arbitraire sur sa machine.

L’infrastructure malveillante derrière les chats partagés

Les commandes affichées dans les chats partagés téléchargent, en base64, un script shell depuis des domaines compromis. Les opérateurs utilisent souvent des serveurs web non patchés comme point d’appui pour héberger leurs payloads, comme en témoignent les failles critiques CPanel/WHM à patcher d’urgence. Deux variantes ont été identifiées :

• Variante Albayrak (VirusTotal) : hxxp://customroofingcontractors[.]com/curl/b42a0ed9d1ecb72e42d6034502c304845d98805481d99cea4e259359f9ab206e
• Variante BleepingComputer (VirusTotal) : hxxps://bernasibutuwqu2[.]com/debug/loader.sh?build=a39427f9d5bfda11277f1a58c89b7c2d

Le loader.sh servi par le deuxième lien constitue un ensemble d’instructions shell compressées via Gunzip. Ce script s’exécute entièrement en mémoire, sans déposer de binaire traditionnel sur le disque. C’est cette caractéristique qui rend la détection par les outils de sécurité classiques extrêmement difficile : aucun fichier suspect à scanner, aucune signature connue à correspondance, pas de persistence évidente dans les processus normally monitored.

L’un des aspects les plus sophistiqués de cette campagne réside dans la livraison polymorphique. BleepingComputer a constaté que le serveur servait une version unique de l’obfuscated payload à chaque requête. Chaque victime reçoit un payload légèrement différent, avec des hash et des signatures différents. Les solutions de sécurité qui s’appuient sur la détection par signature sont ainsi rendues inefficaces, car la même attaque ne produit jamais deux fois le même fichier.

Le malware macOS en action : ce qu’il fait sur votre machine

Une sélection méthodique des victimes avant infection

La variante identifiée par BleepingComputer ne s’exécute pas aveuglément. Avant de déployer l’infection complète, le script vérifie la configuration de la machine cible. Première étape : le script examine les sources d’entrée clavier configurées sur le système. Si l’utilisateur dispose de dispositions clavier russes ou originaires de la région CIS (Commonwealth of Independent States), le script se ferme immédiatement, envoyant simplement un ping « cis_blocked » au serveur de l’attaquant avant de quitter. Cette mesure d’évitement géographique suggère que les opérateurs cherchent à éviter les systèmes détectés comme localisés en Russie ou dans les pays voisins, probablement pour des raisons opérationnelles (minimiser les risques de détection par les autorités locales ou contourner des restrictions légales spécifiques à ces juridictions).

Si la vérification géographique est passée avec succès, le script collecte un ensemble de données de victimisation : adresse IP externe, nom d’hôte, version de l’OS et locale clavier. Toutes ces informations sont transmises au serveur de l’attaquant. Cette phase de fingerprinting avant delivery du payload final indique que les opérateurs sélectionnent activement leurs cibles. Ils ne cherchent pas à infecter le maximum de machines possible; ils souhaitent maximiser le retour sur investissement en ciblant des profils spécifiques, probablement identifiés lors de précédent campaigns ou achats sur le marché des credentials volés.

Exécution en mémoire et déploiement du second stage

Après la phase de profilage, le script télécharge un second stage payload et l’exécute via osascript, le moteur de scripting intégré à macOS. Cette technique permet une exécution de code à distance sans jamais déposer de fichier binaire traditionnel sur le disque. C’est une approche de plus en plus répandue chez les opérateurs d’infostealersmacOS modernes, car elle contourne la détection par les antivirus traditionnels qui s’appuient sur la surveillance du système de fichiers.

La variante identifiée par Albayrak, en revanche, semble brûler les étapes. Elle omet la phase de fingerprinting et passe directement à l’exécution. Elle cible spécifiquement les données critiques stockées dans les navigateurs web : credentials de connexion, cookies de session et contenus du Keychain macOS. Le Keychain est le gestionnaire de mots de passe intégré à macOS, chiffré par défaut, qui stocke les identifiants pour les applications, sites web et services réseau. Voler son contenu donne à l’attaquant un accès direct à la quasi-totalité des comptes de la victime. Ce type d’attaque ciblée sur les gestionnaires d’authentification rappelle les backdoors PAM comme PAMdoora qui vole les credentials SSH sur Linux, illustrant une tendance lourde des infostealers à viser les coffres-forts d’identifiants.

Albayrak a identifié cette variante comme une forme du MacSync infostealer, un malware macOS connu pour sa capacité à extraire silencieusement les données d’authentification stockées dans les navigateurs et le trousseau système. Le domaine briskinternet[.]com, utilisé dans cette variante, semblait down au moment de la rédaction par BleepingComputer, mais d’autres infrastructure ont pris le relais.

Pourquoi cette campagne est particulièrement dangereuse pour les utilisateurs Mac

Le renversement du paradigme malvertising classique

Les campagnes malvertising traditionnelles fonctionnement selon un schéma désormais bien documenté. L’attaquant crée un domaine lookalike quasi identique au site légitime, achète une publicité Google qui affiche ce domaine frauduleux, et l’utilisateur non averti clique sur une URL qui ressemble à s’y méprendre à celle qu’il recherchait. Dans le cas documenté par BleepingComputer impliquant des recherches GIMP, la tactique suivait exactement ce schéma : un domaine的事实ement identique au vrai сайт, une pub convaincante, un phishing page de téléchargement factice.

La campagne Claude.ai renverse complètement cette logique. Les publicités Google pointent vers le véritable domaine claude.ai, car les attaquants hébergent leurs instructions malveillantes à l’intérieur même de la fonctionnalité de chats partagés de la plateforme. Il n’y a pas de faux domaine à repérer, pas de URL suspecte à analyser. La destination est légitime. Le piège se referme une fois que l’utilisateur interagit avec le contenu du chat, en l’occurrence des instructions lui demandant d’ouvrir Terminal et de coller une commande. C’est l’équivalent numérique de recevoir un colis parfaitement emballé d’un expéditeur connu, mais qui contient un dispositif explosif : le contenant est authentique, seul le contenu est malveillant.

L’exploitation des plateformes d’IA comme canal de distribution

Cette campagne n’est pas un incident isolé. En décembre 2025, BleepingComputer avait déjà documenté une campagne similaire ciblant les utilisateurs de ChatGPT et Grok. Les attaquants avaient abuse les fonctionnalités de partage de conversations sur ces plateformes pour publier des guides d’installation factices,的吧instructions redirigeant les victimes vers des malware. Le fait que cette tactique réapparaisse six mois plus tard, ciblant cette fois Claude.ai, confirme une tendance préoccupante : les plateformes d’IA générative deviennent un vecteur d’attaque privilégié pour les opérateurs de malware.

Plusieurs facteurs expliquent cette attractivité. Premièrement, les chats partagés sur ces plateformes sont par défaut publics ou accessibles via un simple lien, ce qui les rend simples à intégrer dans une campagne. Deuxièmement, le contenu d’un chat partagé semble crédible et légitimé par l’autorité perçue de l’IA elle-même. Un utilisateur qui voit un « guide d’installation » partagé sur Claude.ai, même venant d’un inconnu, accorde une certaine confiance au contenu généré par une IA. Troisièmement, la fenêtre de détection est étroite : les équipes de sécurité des plateformes d’IA ne sont pas configurées pour détecter des contenus malveillants dans les conversations publiques; leur modèle de modération se concentre sur les outputs générés, pas sur les instructions que les utilisateurs pourraient pianter dans un Terminal.

Signes d’alerte et méthodes de protection contre ce type d’attaque

Identifier les tentatives d’ingénierie sociale dans les chats d’IA

La première ligne de défense reste la vigilance de l’utilisateur. Quelques signaux d’alerte permettent de repérer une tentative d’arnaque avant qu’il ne soit trop tard. Un chat partagé qui vous demande d’ouvrir Terminal et de coller une commande doit immédiatement déclencher une alerte. Aucune application légitime, y compris Claude Code, ne demande à ses utilisateurs de coller des commandes dans Terminal via un chat partagé. Claude Code est disponible via la documentation officielle d’Anthropic, et son installation ne nécessite jamais de manipuler le Terminal manuellement.

Le contexte de publication du chat mérite également une vérification. Un chat attribuée à « Apple Support » alors que le produit concerné (Claude Code) est développé par Anthropic, pas par Apple, est un signal d’incohérence flagrant. De même, un chat qui recommande de télécharger un fichier ou d’exécuter une commande système sans lien vers une source officielle doit être traité avec la plus grande méfiance. Les développeurs d’applications macOS dignes de confiance distribueraient leurs logiciels via l’App Store ou via des packages d’installation signés, pas via des commandes Terminal collées depuis un chat.

Bonnes pratiques de sécurité pour les utilisateurs Mac en 2026

En matière de sécurité informatique, certaines habitudes constituent une défense efficace contre ce type d’attaque multi-vectorielle.

Navigation directe vers les sources officielles. La règle cardinale face à une campagne malvertising reste la navigation directe. Au lieu de cliquer sur un résultat sponsorisé, tapez manuellement l’URL du site officiel dans la barre d’adresse. Pour installer Claude Code, rendez-vous directement sur la documentation officielle d’Anthropic. Cette approche élimine complètement le risque de tomber sur une pub malveillante.

Scepticisme face aux instructions Terminal. Toute instruction vous demandant d’ouvrir Terminal et de coller une commande, quel que soit le contexte - chat d’IA, email, message privé - doit être considérée comme suspecte a priori. Les applications légitimes n’utilisent jamais ce canal pour l’installation. Si vous doutez de la légitimité d’une instruction, contactez directement le support officiel du développeur.

Validation des autorisations système. macOS dispose de mécanismes de protection intégrés. Gatekeeper vérifie la signature des applications avant exécution. XProtect (anciennement « Quarantine » et maintenant intégré à macOS Security) analyse les fichiers téléchargés. L’activation de la protection intégrité système (SIP) bloque l’exécution de code non signé au niveau du kernel. Vérifiez que ces protections sont actives dans les Préférences Système > Sécurité et confidentialité.

Surveillance des processus et connexions réseau. Des outils comme « Activity Monitor » intégré à macOS permettent de surveiller les processus actifs. Un utilisateur vigilant remarquera des processus inconnus ou des connexions réseau inhabituelles. Des solutions comme Little Snitch permettent de contrôler finement les connexions réseau sortantes de chaque application.

Implications pour l’écosystème de sécurité macOS et les plateformes d’IA

La responsabilité des plateformes d’hébergement de contenu

Cette campagne pose une question fondamentale sur la responsabilité des plateformes d’IA en matière de sécurité des contenus publiés par leurs utilisateurs. Claude.ai, comme ChatGPT et Grok, propose des fonctionnalités de partage public qui sont, par conception, difficiles à modérer. Le contenu d’un chat peut être modifié en temps réel, inclure des instructions techniques obscures, et être ciblé très spécifiquement vers un public vulnérable - les utilisateurs cherchant à installer un outil de développement spécifique.

Anthropic et Google ont été contactés par BleepingComputer avant publication de l’enquête. La question de la modération des chats partagés est complexe : une IA génère du contenu en réponse aux prompts de ses utilisateurs. Un chat partagé peut être modifié à postériori par son auteur. Détecter automatiquement une instruction malveillante masquée dans un long échange technique représente un défi considérable pour les systèmes de modération automatisés.

Pour les entreprises de sécurité, cette campagne illustre la nécessité d’adapter leurs outils de détection. Les solutions basées uniquement sur la signature sont rendues obsolètes par la livraison polymorphique. Les systèmes EDR (Endpoint Detection and Response) doivent intégrer des couches de détection comportementale, capables d’identifier une exécution anormale de code en mémoire ou des appels inhabituels à osascript. La télémétrie réseau doit être configurée pour détecter les connexions sortantes vers des domaines fraîchement enregistrés ou vers des patterns de communication typiques des infostealers.

Recommandations pour les équipes RSSI

Pour les organisations utilisant des Mac au sein de leur infrastructure, cette campagne implique plusieurs adjustments de politique de sécurité. Premièrement, les politiques de sécurité des endpoints doivent incluir des règles détectant les tentatives d’exécution de code via osascript non sollicité, notamment quand le processus parent est le Terminal ou un navigateur web. Deuxièmement, les utilisateurs doivent être formés à reconnaitre les tactics d’ingénierie sociale via les plateformes d’IA, un vecteur d’attaque émergent qui n’est pas encore couvert par les programmes de sensibilisation classiques. Troisièmement, les solutions de sécurité déployées sur les endpoints macOS doivent être configurées pour analyser le comportement des scripts shell en mémoire, pas seulement les fichiers déposés sur le disque.

Dans un environnement où les attaquants adaptent constamment leurs méthodes pour exploiter les fonctionnalités légitimes des plateformes de confiance, la défense doit elle aussi évoluer. La combinaison d’une vigilance utilisateur éclairée, de politiques de sécurité strictes et d’outils de détection comportementale constitue la seule parade efficace contre des campagnes aussi sophistiquées.

Conclusion : naviguez avec prudence, vérifiez toujours vos sources

La campagne de malvertising ciblant les recherches « Claude mac download » représente un tournant dans les tactiques d’attaque contre les utilisateurs Mac. Pour la première fois, les attaquants utilisent une plateforme d’IA légitime comme canal de distribution de malware, éliminant complètement la possibilité pour l’utilisateur de repérer un domaine frauduleux. Le piège est d’autant plus efficace qu’il exploite la confiance que les utilisateurs accordent à un service IA reconnu et à un résultat sponsorisé Google qui affiche une URL authentique.

Le malware lui-même, une variante du MacSync infostealer delivery via des scripts shell exécutés en mémoire, illustre le niveau de sophistication atteint par les opérateurs macOS. L’évitement géographique des régions CIS, la livraison polymorphique et l’exécution sans fichier sur le disque témoignent d’une Operational Security mature, incompatible avec un acteur amateur.

Face à ces menaces, la prudence reste votre meilleure protection. Installez vos logiciels en naviguant directement vers les sites officiels, jamais via des liens sponsorisés. Ne collez jamais de commandes Terminal sans comprendre exactement ce qu’elles font. Traitez tout chat partagé vous demandant d’exécuter du code avec le plus grand scepticisme. Et maintenez vos outils de sécurité Endpoint à jour pour détecter les comportements anormaux, pas seulement les signatures connues. La sécurité sur macOS n’est plus une question de réputation de plateforme; elle est une question de vigilance constante face à des adversaires qui n’ont jamais cessé de viser cet ecosistema.