แฮกเกอร์ใช้โฆษณา Google และแชตบน Claude.ai หลอกแพร่มัลแวร์โจมตี Mac

มีรายงานว่ากลุ่มผู้ไม่หวังดีเริ่มใช้โฆษณา Google Ads และหน้าแชตที่แชร์ผ่าน Claude.ai เพื่อหลอกให้ผู้ใช้ติดตั้งมัลแวร์ลงเครื่องโดยไม่รู้ตัว

รายงานจากเว็บไซต์ BleepingComputer ระบุว่า ผู้ใช้ที่ค้นหาคำว่า “Claude mac download” บน Google อาจเจอโฆษณาที่ดูเหมือนเป็นลิงก์ทางการของ Claude.ai แต่เมื่อกดเข้าไปกลับถูกพาไปยังหน้าคำแนะนำติดตั้งปลอม ซึ่งออกแบบมาเพื่อหลอกให้รันคำสั่งอันตรายบน macOS แทน

แฮกเกอร์ใช้ “Shared Chat” ของ Claude เป็นเหยื่อล่อ

จุดที่น่าสนใจคือ แคมเปญนี้ไม่ได้สร้างเว็บไซต์ปลอมขึ้นมาใหม่ทั้งหมด แต่เลือกใช้ฟีเจอร์ Shared Chat ของ Claude.ai มาสร้างความน่าเชื่อถือ โดยหน้าแชตดังกล่าวถูกทำให้ดูเหมือนคู่มือ “Claude Code on Mac” อย่างเป็นทางการ และยังแอบอ้างชื่อว่าเป็น “Apple Support” อีกด้วย

การโจมตีลักษณะนี้ถูกค้นพบโดย Berk Albayrak วิศวกรด้านความปลอดภัยจาก Trendyol Group ซึ่งพบว่าผู้โจมตีซื้อโฆษณาบน Google เพื่อดันลิงก์เหล่านี้ขึ้นมาอยู่ในอันดับต้นๆ ของผลค้นหา ทำให้ผู้ใช้หลงเชื่อได้ง่าย เพราะ URL ที่แสดงยังคงเป็นโดเมนจริงของ Claude.ai

เมื่อเหยื่อทำตามขั้นตอนที่ปรากฏบนหน้าแชต ระบบจะสั่งให้คัดลอกคำสั่งไปวางใน Terminal ซึ่งเบื้องหลังคือการดาวน์โหลดและติดตั้งมัลแวร์ลงเครื่อง Mac โดยตรง

จาก AI Tools สู่ช่องทางแพร่มัลแวร์ยุคใหม่

ผู้เชี่ยวชาญด้านความปลอดภัยมองว่า นี่คือแนวโน้มใหม่ของการโจมตีไซเบอร์ ที่อาศัย “ความน่าเชื่อถือ” ของแพลตฟอร์ม AI และพฤติกรรมของนักพัฒนาเป็นตัวล่อ

ที่ผ่านมา ผู้ใช้สาย Developer มักคุ้นชินกับการคัดลอกคำสั่งจากหน้าเว็บไปวางใน Terminal เพื่อทำการติดตั้งเครื่องมือหรือแพ็กเกจต่างๆ อยู่แล้ว ทำให้ผู้โจมตีสามารถซ่อนคำสั่งอันตรายไว้ในขั้นตอนที่ดูเหมือนปกติได้อย่างแนบเนียน

ก่อนหน้านี้ยังมีรายงานลักษณะใกล้เคียงกัน ทั้งการใช้ Google Ads โปรโมตหน้า Claude ปลอม การปลอมคู่มือ Claude Code รวมถึงการใช้ Shared Chat ของ AI แพลตฟอร์มต่างๆ เพื่อกระจายมัลแวร์ประเภท Infostealer บน macOS ด้วยเช่นกัน

เหตุการณ์นี้สะท้อนให้เห็นว่า แม้ผู้ใช้จะเข้าเว็บไซต์จริง หรือเห็นโดเมนที่ดูน่าเชื่อถือ ก็ไม่ได้หมายความว่าคอนเทนต์ภายในจะปลอดภัยเสมอไป โดยเฉพาะในยุคที่แพลตฟอร์ม AI เปิดให้ผู้ใช้สร้างและแชร์เนื้อหาได้อย่างอิสระ

สิ่งสำคัญคือควรหลีกเลี่ยงการรันคำสั่งจากแหล่งที่ไม่แน่ใจ ตรวจสอบผู้ลงโฆษณาบน Google ให้ละเอียด และไม่ควรเชื่อคำแนะนำจาก Shared Chat หรือคู่มือติดตั้งที่ไม่สามารถยืนยันแหล่งที่มาได้อย่างชัดเจน เพราะเพียงแค่คัดลอกคำสั่งผิดครั้งเดียว อาจเปิดประตูให้มัลแวร์เข้าควบคุมเครื่องได้ทันที