Atak na macOS: fałszywe rozmowy w ChatGPT i reklamy Google skłaniają do wpisania komend w Terminalu, co instaluje AMOS/MacStealera kradnącego hasła i dane.
© RusPhotoBank
Eksperci ds. bezpieczeństwa cyfrowego ujawnili nowy, niepokojący schemat: napastnicy wykorzystują ChatGPT i reklamy Google, aby nakłonić właścicieli Maców do uruchamiania złośliwych poleceń w Terminalu. Efekt to skryta instalacja MacStealera — trojana zdolnego kraść hasła do iCloud, pliki oraz dane kart płatniczych.
Jak podaje Huntress, kampania celowała w osoby szukające w Google sposobów na zwolnienie miejsca na dysku w macOS. Hakerzy przygotowali autentyczną rozmowę w ChatGPT, prowadzili uprzejmą wymianę o metodach porządkowania pamięci i po cichu wpletli niebezpieczną komendę. Następnie upublicznili link i wykupili promocję w Google Ads, windując go na szczyt wyników. Brzmi niewinnie — i właśnie w tym tkwi siła pułapki: znajomy interfejs, pomocny ton, szybka recepta.
Użytkownik widział odnośnik do rozmowy w ChatGPT, zakładał, że to wiarygodne źródło, i wykonywał opisane kroki. Wpisując komendę w Terminalu, w rzeczywistości instalował AMOS Stealer, odmianę MacStealera, która potajemnie zbierała hasła, podnosiła uprawnienia do poziomu roota i zapewniała sobie trwałość. Tę samą sztuczkę zastosowano także w rozmowach Groka na platformie X.
Problem w tym, że taka metoda skutecznie obchodzi zabezpieczenia macOS. System ufa działaniom uruchamianym przez samego użytkownika, więc po ręcznym wpisaniu polecenia ostrzeżenia się nie pojawiają.
Specjaliści wzywają do wzmożonej ostrożności: nie wklejać komend do Terminala, jeśli źródło nie jest absolutnie pewne. Płatne linki w Google nie są z definicji bezpieczne — traktowanie reklamy jak znaku jakości bywa złudne. To jeden z pierwszych ataków, w których przestępcy bezpośrednio używają platform AI jako przynęty, a eksperci spodziewają się, że ten sposób działania będzie się rozwijał.