Google Ads/Claude AI/Medium を悪用:macOS ユーザーを標的とするマルウェア・キャンペーンを観測

Threat Actors Exploit Claude Artifacts and Google Ads to Target macOS Users

2026/02/14 CyberSecurityNews — Google がスポンサーとなる検索結果や、Anthropic の Claude AI、Medium などの正規プラットフォームを悪用し、macOS ユーザーを標的とする高度なマルウェア・キャンペーンが確認された。確立されたオンライン・サービスに対するユーザーの信頼を悪用する 2 種類の攻撃手法により、潜在的な被害者は 15,000 人以上に到達している。

第 1 の攻撃ベクターは Google Ads を利用し、正規の macOS セキュリティ・ガイドを装うことで悪意の Claude AI アーティファクトを宣伝する手法である。ユーザーが “Online DNS resolver” で検索すると、”macOS Secure Command Execution” と題される公開 Claude アーティファクトへ誘導するスポンサー・リンクが表示される。

15,000 potential victims (Source: Twitter)
15,000 potential victims (Source: Twitter)

この偽ガイドは、Base64 エンコードされたコマンドを、Terminal アプリケーションへと貼り付けるよう指示する。このコマンドは、復号後に悪意のシェル・スクリプトを実行し、MacSync 情報窃取マルウェアをダウンロードする。このマルウェアが実行されると、ハードコードされた認証トークンおよび API キーを介して、C2 (Command and Control) サーバである “a2abotnet[.]com/dynamic” との通信が確立される。その一方で、正規 macOS ブラウザの User-Agent 文字列の偽装による検知の回避が行われ、悪意のネットワーク・トラフィックが通常の Web 閲覧活動に誤認される。

このペイロードが実行するのは、AppleScript コンポーネント/キーチェーン認証情報/ブラウザデータ/暗号資産ウォレットファイルなどの機密情報を標的とするデータ窃取である。Moonlock Lab のサイバーセキュリティ研究者によると、窃取されたデータは “/tmp/osalogging.zip” に圧縮された後に、HTTP POST リクエストにより “a2abotnet[.]com/gate” へ送信される。このマルウェアは、大容量データ転送に対応する高度な再試行メカニズムを備え、最大 8 回の再試行と指数関数的バックオフを伴うチャンク・アップロードを実装している。送信に成功した後には、ステージング・ファイルの削除による痕跡の隠蔽が行われる。

第 2 の攻撃のバリエーションは、”macos cli disk space analyzer” を検索するユーザーを標的とし、”apple-mac-disk-space.medium[.]com” に掲載された Medium 記事を利用するものだ。この記事は Apple 公式サポートチームを装い、同様の ClickFix ソーシャル・エンジニアリング手法を採用している。ただし、このバリエーションは、二重エンコードおよび異なるホスティング・インフラを使用する。

Few layers of obfuscation for a single curl one-liner ( Source: Twitter)
Few layers of obfuscation for a single curl one-liner ( Source: Twitter)

この悪意のコマンドは、curl の代わりに (cur””l) を使用する文字列連結トリックを用い、単純なパターン・マッチング検知システムや YARA ルールを回避する。

2 つのバリアントが示すのは、正規プラットフォームや信頼されたサービスを悪用する脅威アクターが、マルウェアを配布する方式を拡大していることである。Google Ads を悪用する配布は、スポンサー検索結果であっても、情報源を検証する重要性を浮き彫りにしている。

Malicious URL (Source: Twiiter)
Malicious URL (Source: Twiiter)

プラットフォームの正当性に関わらず、オンライン情報源からコピーした Terminal コマンドを実行する際のユーザーは、最大限の注意を払う必要がある。さらに言えば、macOS ユーザーは、不明な情報源からの Terminal コマンド実行を控えるのが賢明である。Apple や信頼できるベンダーを名乗るサポート記事の、真正性の確認が不可欠となる。

ユーザー組織として検討すべきは、不審な Terminal 活動や未知の C2 サーバへのネットワーク接続を監視できる Endpoint Detection and Response (EDR) の導入である。

IOC テーブル
Indicator TypeIndicatorDescription
Domaina2abotnet[.]comCommand and control server
Domainraxelpak[.]comPayload hosting domain
Domainapple-mac-disk-space.medium[.]comFake Apple support article
File Path/tmp/osalogging.zipStaging file for stolen data
MalwareMacSyncInformation stealer targeting macOS

Google/Anthropic/Mediumといった信頼性の高いプラットフォームの正規機能を悪用し、macOS ユーザーから機密情報を盗み出す高度なインフォスティーラー MacSync の拡散キャンペーンについて解説する記事です。この攻撃の巧妙な点は、正規サイト上でホストされている、無害に見えるコンテンツを悪用していることにあります。攻撃者は、Google 広告を買い取り、公式なドキュメントやサポート記事を装うことで、Anthropic の Claude のアーティファクトや Medium のブログ記事へとユーザーを誘導します。そこには、セキュリティ設定やディスク解析を装うコマンドが記載されていて、それらをコピーして自身のターミナルに貼り付けるユーザーに、マルウェアのダウンロードと実行を行わせるという仕組みになっています。macOS ユーザーは、ご注意ください。