Atacuri AI prin căutări sponsorizate au crescut în 2025, iar utilizatorii care solicită soluții tehnice în Google sau la chatboți precum ChatGPT și Grok se expun tot mai mult la malware macOS. Campaniile recente folosesc reclame plătite pentru a promova pagini care par legitime, dar care conțin comenzi terminal menite să instaleze un infostealer pe macOS.
Campania de publicitate în Google
Reclamele plătite apar la interogări comune, cum ar fi „cum șterg system data pe Mac” sau „cum eliberez spațiu pe macOS”. Titlul este conceput să inspire încredere, iar linkul duce la un domeniu oficial, de exemplu chatgpt.com. Pagina afișată prezintă o conversație AI care oferă pași scurți, imperativi, și solicită rularea unei comenzi în Terminal. Acest format transformă sprijinul tehnic în vectors de instalare a unui malware.
Conținutul înșelător al conversației AI
După click, utilizatorul vede un „chat” pregătit special, cu fraze precum „copiază și lipește comanda următoare” și „acorde toate permisiunile”. Comanda aduce în realitate un script care descarcă și execută AMOS, un infostealer pentru macOS. Structura imită metoda ClickFix, în care atacatorul convinge victima să ruleze singură codul malițios.
Ce este AMOS, infostealerul macOS
AMOS (Atomic macOS Stealer) colectează:
- Cookie-uri, parole și date de autofill din browsere.
- Chei din macOS Keychain și fișiere sensibile.
- Portofele de criptomonede și eventuale date de autentificare.
Malware‑ul poate obține privilegii de root, instalând module suplimentare și persistență pe sistem. Faptul că utilizatorul execută comanda, reduce nevoia de exploatare tehnică complexă.
De ce atacul prinde și cum te poți proteja
Atacurile AI exploatează încrederea în motorul de căutare, platforma AI și formatul de ghid pas cu pas. Pentru a evita capcanele:
- Verifică dacă rezultatul este o reclamă și identifică advertiserul.
- Nu rula comenzi în Terminal fără o înțelegere completă a efectului lor.
- Caută aceeași soluție în documentația oficială sau pe site‑uri de încredere.
- Folosește o discuție separată cu AI pentru a cere o analiză de siguranță a comenzii.
Impactul și evoluția campaniei
Investigațiile firmei de securitate confirmă că pagina de chat este replicată pe numeroase rezultate sponsorizate, atât pe ChatGPT, cât și pe Grok. Structura mesajului rămâne constantă: problemă comună, comandă „magică”, și cerere de permisiuni totale. Astfel, ingineria socială s‑a mutat din site‑uri obscure în conținut aparent legitim.
Monitorizarea continuă a rezultatelor sponsorizate și o evaluare riguroasă a oricărei comenzi terminal rămân esențiale pentru prevenirea instalării unui infostealer macOS. Actualizarea constantă a cunoștințelor și verificarea surselor oficiale contribuie la reducerea riscului de compromitere.
