Falske ChatGPT-samtaler og Google Ads lurer Mac-brukere til å kjøre farlige Terminal-kommandoer i macOS. Resultatet: MacStealer/AMOS som stjeler iCloud-passord.
© RusPhotoBank
Fageksperter på digital sikkerhet har avdekket en ny og urovekkende metode: Angripere bruker ChatGPT og Google-annonser for å lure Mac-eiere til å kjøre skadelige kommandoer i Terminal. Resultatet er en skjult installasjon av MacStealer, en trojaner som kan stjele iCloud-passord, filer og bankkortdata.
Ifølge Huntress rettet kampanjen seg mot folk som søkte på Google etter råd om hvordan man frigjør diskplass i macOS. Hackerne satte opp en ekte ChatGPT-samtale, holdt en høflig prat om ulike måter å rydde plass på og snek inn en farlig kommando. Deretter gjorde de lenken offentlig og betalte for å dytte den gjennom Google Ads, slik at den havnet øverst i resultatene. Agnet fungerer nettopp fordi alt ser hverdagslig ut: et kjent grensesnitt, en hjelpsom tone og en kjapp løsning.
En bruker ser lenken til en ChatGPT-prat, antar at kilden er trygg og følger stegene for opprydding. Ved å kjøre kommandoen i Terminal installeres i praksis AMOS Stealer, en MacStealer-variant som i det stille samler inn passord, hever rettigheter til root og etablerer vedvarende tilgang. Den samme taktikken ble brukt i Grok-samtaler på X.
Det farlige er at metoden i realiteten omgår macOS’ innebygde vern. Systemet stoler på handlinger brukeren selv initierer, så ingen advarsler dukker opp når kommandoen tastes inn manuelt. Nettopp dette samspillet mellom tillit og vane gjør grepet ekstra effektivt.
Eksperter oppfordrer til ekstra varsomhet: Ikke lim inn kommandoer i Terminal med mindre du er helt sikker på kilden. Betalte lenker i Google er ikke automatisk trygge, og populariteten til ChatGPT kan skape en falsk trygghet. Dette omtales som et av de første angrepene der kriminelle bruker KI-plattformer som lokkemiddel, og spesialister forventer at tilnærmingen vil utvikle seg videre.