Arnaque Claude Mac : Pourquoi les Ads Google et chats partagés cachent un malware macOS

Aurélien Fontevive

En 2026, les experts en cybersécurité ont observé une campagne de malvertising d’une sophistication préoccupante. Des attaquants exploitent simultanément les publicités sponsorisées de Google et la fonctionnalité de chats partagés de Claude.ai pour توزيع un logiciel malveillant ciblant les utilisateurs macOS. Concrètement, lorsqu’un internaute tape « Claude mac download » dans Google, il peut tomber sur un lien sponsorisé affichant l’URL légitime claude.ai - mais la destination finale lui demande d’exécuter une commande dans Terminal qui installe silencieusement un voleur de données sur son Mac. Cette campagne, documentée par le chercheur Berk Albayrak (Trendyol Group) et confirmée par BleepingComputer, démontre une évolution préoccupante : les fraudeurs n’ont plus besoin de créer de faux noms de domaine. Ils détournent une plateforme légitime pour servir leurs instructions malveillantes. Voici comment fonctionne cette attaque, pourquoi elle est particulièrement dangereuse, et comment vous protéger.

Comment fonctionne la campagne de malvertising ciblant macOS

Le mécanisme de l’attaque via Google Ads

Le principe est simple mais efficace. Les attaquants achètent des espaces publicitaires sur Google pour des recherches précises comme « Claude mac download ». Le contenu de l’annonce affiche la véritable URL claude.ai, ce qui inspire confiance à l’internaute. Pourtant, une fois cliqué, l’utilisateur est redirigé vers un chat partagé de Claude.ai conçu par les attaquants.

Ce qui rend cette technique particulièrement insidieuse, c’est l’absence de domaine frauduleux à repérer. Dans les campagnes de malvertising classiques, un œil attentif pouvait détecter un nom de domaine suspect. Ici, la destination affiche une URL parfaitement authentique : claude.ai. L’utilisateur n’a aucune raison immédiate de se méfier.

L’exploitation des chats partagés Claude.ai

Les chats partagés constituent une fonctionnalité légitime d’Anthropic. Elle permet à n’importe qui de créer une conversation et de la rendre publique. Les attaquants ont créé au moins deux chats distincts utilisant une structure et une ingénierie sociale quasi identiques, mais exploitant des infrastructures complètement différentes.

Le chat frauduleux se présente comme un « guide d’installation officiel de Claude Code on Mac », attribué faussement à « Apple Support ». Il invite l’utilisateur à ouvrir l’application Terminal et à coller une commande. Cette commande - présentée comme un simple téléchargement - exécute en réalité du code malveillant en arrière-plan, sans qu’aucune invite de sécurité ne soit affichée par macOS.

« Les instructions vous demandant de coller des commandes dans Terminal, où que vous les rencontriez, doivent immédiatement éveiller vos soupçons. Aucun guide officiel ne vous demandera cela. »

Anatomie technique du malware macOS en circulation

La chaîne d’infection en plusieurs étapes

L’infection repose sur une architecture en plusieurs couches, conçue pour échapper à la détection. Voici le fonctionnement détaillé, reconstitué à partir des analyses de Berk Albayrak et de BleepingComputer :

  1. ** Première étape ** - L’utilisateur exécute la commande trouvée dans le chat partagé. Celle-ci récupère un script shell encodé en base64 depuis un domaine compromis (customroofingcontractors[.]com ou bernasibutuwqu2[.]com selon la variante).

  2. ** Deuxième étape ** - Le script téléchargé est un ensemble d’instructions compressées Gunzip. Elles s’exécutent entièrement en mémoire vive (RAM), sans écrire de fichier persistant sur le disque. Cette technique « Fileless » complique considérablement la détection par les logiciels antivirus traditionnels.

  3. ** Troisième étape ** - Le serveur des attaquants renvoie une version unique du payload à chaque requête (technique de distribution polymorphique). Les outils de sécurité basés sur les signatures knownées ne peuvent pas identifier le malware, car son empreinte change à chaque distribution. Des attaques comme Rowhammer sur GPU NVIDIA montrent comment les techniques d’exploitation matérielle évoluent pour menacer vos systèmes en 2026.

  4. ** Quatrième étape ** - Un second payload est téléchargé et exécuté via osascript, le moteur de script natif de macOS. Cela confère aux attaquants une exécution de code à distance sans jamais déposer de binaire traditionnel sur le système.

Le tri géopolitique des victimes

Une variante découverte par BleepingComputer illustre le niveau de sophistication des opérateurs. Avant de délivrer le payload final, le script vérifie la configuration clavier de la machine. Si des sources d’entrée clavier liées à la Russie ou à un pays de la CEI (Communauté des États Indépendants) sont détectées, le script s’arrête nettoyeusement et envoie un ping « cis_blocked » au serveur de commande. Seuls les machines qui passent ce filtrage géographique reçoivent l’étape suivante de l’attaque.

Cette approche montre que les opérateurs ciblent selectivement leurs victimes, probablement pour éviter de déclencher des investigations dans des juridictions à risque. En pratique, cela signifie que les attaquants disposent de ressources significatives et d’une infrastructure soigneusement planificación.

MacSync : le voleur d’identifiants ciblant macOS

La variante identifiée par Albayrak, elle, semble ignorer l’étape de profilage géographique. Elle passe directement à l’exécution. Son objectif : collecter les identifiants stockés dans les navigateurs web, les cookies de session, et surtout le contenu du Keychain macOS - le gestionnaire de mots de passe intégré au système.

Les données exfiltrées sont assemblées en un paquet et envoyées vers le serveur des attaquants. Le domaine briskinternet[.]com, identifié comme destination de l’exfiltration dans cette variante, était hors service au moment de la publication de l’article de BleepingComputer.

Les analystes ont identifié ce malware comme une variante de MacSync, un infostealer macOS connu. Son fonctionnement cible spécifiquement l’écosystème Apple, exploitant la confiance excessive que certains utilisateurs placent dans leur système.

Résumé de la chaîne d’infection

ÉtapeActionDétail technique
1Commande collée par l’utilisateurTélécharge un shell script encodé en base64
2Exécution en mémoireScript Gunzip decompressé, aucune trace disque
3Distribution polymorphiquePayload unique par requête, détection par hash impossible
4Filtrage géographiqueVérification clavier Russia/CEI, ping cis_blocked si détecté
5Collecte de donnéesKeychain, cookies, identifiants navigateurs
6ExfiltrationEnvoi vers serveur C2 des attaquants

Pourquoi cette campagne est plus dangereuse que les autres

La différence fondamentale avec les campagnes de malvertising traditionnelles réside dans la nature de la destination. Dans les arnaques classiques - citons l’exemple documenté par BleepingComputer concernant des recherches pour GIMP - l’utilisateur pouvait identifier un site factice en vérifiant l’URL. Les fraudeurs créaient un domaine homographe thérapeutiquement proche du véritable.

Ici, l’URL de destination est parfaitement authentique. Le clic sur une publicité sponsorisée mène réellement à claude.ai, où une conversation piégée attend l’utilisateur. Cette attaque exploite le Capital de confiance d’une plateforme de référence. Les utilisateurs qui exécutent les instructions malveillantes ne font pas confiance à un site inconnu, mais à une interface qu’ils utilisent quotidiennement pour des tâches professionnelles.

Ce n’est d’ailleurs pas la première fois que des plateformes d’intelligence artificielle sont détournées à des fins malveillantes. En décembre 2024, BleepingComputer avait déjà documenté une campagne similaire ciblant les utilisateurs de ChatGPT et Grok. La méthode se perfectionne et se diversifie.

« Le jour où vous demandez à un assistant IA de vous fournir la procédure d’installation d’un logiciel et que ce même assistant vous propose de coller une commande dans Terminal, considérez que quelque chose ne va pas. Aucun éditeur légitime ne fonctionne ainsi. »

Comment se protéger contre cette campagne de malvertising

Téléchargement direct et vérifié

La règle la plus simple et la plus efficace : naviguez toujours directement vers le site officiel du logiciel que vous souhaitez installer. Pour Claude Code, l’adresse est claude.ai. Tapez-la directement dans votre navigateur. Ne cliquez jamais sur un résultat sponsorisé pour télécharger un outil de développement ou un logiciel système.

Le CLI officiel de Claude Code est disponible via la documentation officielle d’Anthropic et s’installe via des méthodes standard (Homebrew, curl vers les URL officielles, etc.). Aucune installation ne nécessite de coller une commande arbitraireissue d’un chat en ligne.

Vigilance face aux instructions Terminal

Aucune procédure d’installation légitime ne vous demandera de coller une commande dans Terminal après avoir suivi un lien depuis un résultat de recherche. Cette règle s’applique universally, que le lien provienne d’un moteur de recherche, d’un chat IA, d’un email ou d’un forum.

Si vous voyez une instruction de ce type, even si elle provienne d’un site que vous utilisez habituellement, considérez-la comme suspecte. Contactez le support officiel de l’éditeur par un canal que vous avez vous-même identifié (pas celui proposé dans l’instruction).

Mesures techniques complémentaires

  1. Activez les notifications de sécurité macOS : macOS affiche des alertes quand une application non signée tente d’exécuter du code. Ne les ignorez jamais.

  2. Vérifiez l’origine des applications : depuis les préférences système, limitez l’installation aux applications provenance de l’App Store et de développeurs identifiés. Cela n’empêche pas toute attaque mais réduit la surface d’exposition.

  3. Surveillez les connexions réseau : un logiciel comme Little Snitch (ou son équivalent open source) vous alerte quand une application initie une connexion sortante. Un shell script qui contacte un serveur inconnu doit déclencher une investigation immédiate.

  4. Utilisez un gestionnaire de mots de passe robuste : la faille dans cette attaque, c’est la cible - le Keychain macOS. Un gestionnaire tiers avec authentification par mot de passe maître (Bitwarden, 1Password, KeePassXC) ajoute une couche de protection, car le malware ne peut pas extraire les informations sans ce mot de passe.

  5. Appliquez les mises à jour système : Apple corrige régulièrement des vulnérabilités exploitées par ces malware. Un système à jour est significativement plus difficile à compromettre. Les problèmes informatiques courants et leurs solutions sont documentés pour vous aider à maintenir votre environnement sain.

L’écosystème macOS face à la montée des menaces ciblées

Pendant longtemps, la populaire belief selon laquelle « les Mac ne attrapent pas de virus » a offert un faux sentiment de sécurité. Les statistiques de 2025-2026 racontent une réalité différente. Le nombre de malware spécifiquement conçus pour macOS a explosé, avec une croissance estimée à plus de 50 % par rapport à l’année précédente selon plusieurs rapports de firmes de sécurité.

Les utilisateurs de Mac ne sont plus marginalement touché par les campagnes d’attaque. Le marché des machines Apple représente désormais une part significative des environnements professionnels, en particulier dans le développement logiciel et la recherche. Les attaquants l’ont bien compris : cibler des utilisateurs de Claude Code ou d’autres outils IA, c’est cibler une population techniquement compétente mais parfois moins sensibilisée aux risques spécifiques à macOS.

L’ajout du filtrage géopolitique dans certaines variantes montre que les groupes derrière ces campagnes ne sont pas des script kiddies. Il s’agit d’opérations coordonnées, disposant de budgets suffisant pour acheter des publicité Google, créer des infrastructures polymorphiques, et affiner leurs payloads en fonction des victimes.

« La sécurité sur Mac ne se joue plus à la périphérie. Elle exige une posture active, une vérification constante des sources, et une méfiance assumée face à toute instruction vous demandant un accès root ou Terminal. »

Ce que font Google et Anthropic face à cette menace

Au moment de la publication des recherches par BleepingComputer, les deux entreprises avaient été contactées pour commentaire. Les mesureprises par ces plateformes contre ces abus restent à préciser publiquement.

Du côté de Google Ads, la situation est complex. Le système de vérification des annonceurs, bien qu’en amélioration constante, ne peut pas détecter en temps réel qu’un annonceur utilize un domaine légitime comme destination pour rediriger vers du contenu malveillant. La sophistication de cette campagne exploite précisément cette lacune : elle ne contient aucun élément que les filtres automatiques peuvent identifier comme frauduleux. Les vulnérabilités critiques dans cPanel et WHM rappellent que même les plateformes les plus utilisées peuvent présenter des failles à corriger d’urgence.

Du côté d’Anthropic, la fonctionnalité de chats partagés pose une question de responsabilité. La plateforme permet la création de contenus publics sans modération préalable. Tant que les chats ne contiennent pas de code directement executable dans l’interface (ce qui n’est pas le cas ici - le code est juste une instruction textuelle), leur publication ne viole pas directement les conditions d’utilisation.

Pour les utilisateurs, cela signifie qu’aucune plateforme ne peut être considéré como parfaitement sûre contre ce type de détournement. La defense residuelle repose sur la vigilance individuelle et les bonnes pratiques de sécurité.

Signaux d’alerte et checklist de détection

Pour vous aider à identifier les situations à risque, voici une checklist des signaux d’alerte dans ce type de campagne :

Signaux à repérer dans les résultats de recherche :

  • Un résultat sponsorisé pour un téléchargement logiciel que vous n’auriez jamais ciblé
  • L’URL d’affichage légitime mais un chemin de destination non vérifiable
  • Une annonce qui vous promet une installation « simplifiée » avec une seule commande

Signaux à repérer dans un chat ou une page web :

  • Une instruction qui vous demande d’ouvrir Terminal ou Invite de commandes
  • L’utilisation d’un terme comme « copiez-collez cette commande »
  • Une attribution à « Apple Support » ou un autre support officiel pour un outil tiers
  • L’absence de lien de téléchargement standard ou de fichier .dmg officiel

Signaux à repérer après exécution :

  • Un ralentissement soudain du système sans raison apparente
  • Des connexions réseau sortantes inhabituelle (visible dans le Moniteur d’activité)
  • Des applications qui se comportent de manière inattendue après installation

Conclusion : votre vigilance est votre meilleure défense

La campagne de malvertising exploitant Google Ads et les chats partagés de Claude.ai représente un tournant dans les techniques d’attaque ciblant les utilisateurs macOS. Elle démontre que les attaquants n’ont plus besoin de créer de faux sites web : ils peuvent invisibilité dans des plateformes légitimes pour servir du contenu malveillant.

Les mesures techniques (antivirus, pare-feu, mises à jour) restent utiles, mais elles ne suffisent plus. Face à des instructions qui proviendraient d’un chatbot IA ou d’un résultat de recherche sponsorisé, la seule ligne de défense véritablement efficace, c’est votre capacité à questionner chaque demande d’action sur votre système.

Télécharger un logiciel uniquement depuis le site officiel, ne jamais coller de commande issue d’un chat en ligne, traiter toute instruction Terminal avec méfiance : ces réflexes élémentaires auraient permis à toutes les victimes de cette campagne d’éviter l’infection. Dans un contexte où les malware macOS gagnent en sophistication et en volume, la culture de la méfiance active n’est plus une option. C’est une nécessité.

Si vous avez cliqué sur un résultat sponsorisé pour Claude et exécuté des commandes non sollicitées, analysez immédiatement votre système avec un outil de sécurité reconnu pour macOS. Et modifiez sans délai les identifiants stockés dans votre Keychain, en commençant par vos comptes les plus critiques.