: Lascia il tuo voto agli Italian Security Awards 2026
Scoperta una campagna che sfrutta la funzione di condivisione chat di Claude per installare uno stealer su macOS sfruttando una tecnica di attacco ClickFix.
Un gruppo di attaccanti ha sfruttato una funzione legittima di condivisione pubblica delle conversazioni della piattaforma Claude di Anthropic, per ospitare istruzioni malevole capaci di infettare i Mac delle vittime con un infostealer chiamato MacSync Stealer. La scoperta arriva dal team Threat Hunting di Zscaler, che ha documentato la campagna e l'ha battezzata ClaudeFix, unendo il nome del prodotto Anthropic alla tecnica di attacco ClickFix, basata sulla capacità di convincere la vittima a copiare e incollare da sola un comando nel proprio terminale, presentandolo come la soluzione a un problema tecnico. Al momento della pubblicazione dello studio le chat malevole non erano più raggiungibili.
Il meccanismo alla base dell'attacco è semplice quanto efficace. Chi digita la chiave di ricerca “claude download" nel browser può trovare tra i primi risultati in un'inserzione pubblicitaria a pagamento che rimanda, apparentemente, al dominio ufficiale di Claude. Peccato che il link non porti su una pagina di download, ma su una conversazione condivisa della piattaforma, ossia uno di quei link che qualsiasi utente di Claude può generare per mostrare ad altri una chat avuta con l'assistente. L'indirizzo appartiene realmente al dominio di Anthropic, quindi la vittima reputa la pagina credibile ancora prima di leggerne il contenuto.
Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative
Tutti i dettagli sono curati: la chat condivisa ha in alto a destra la dicitura "Shared by Apple Support", ottenuta impostando questa dicitura come nome visualizzato dell'account Claude. Il contenuto della chat istruisce la vittima a copiare un comando e a incollarlo per risolvere un imprecisato problema. Chi segue le istruzioni avvia il download di un file che usa la codifica Base64 per nascondere la sua attività malevola: scaricare ed eseguire direttamente uno script, senza salvarlo per non lasciare tracce.
Da qui parte una catena di infezione articolata su più passaggi. Il primo script nasconde ogni output visibile, per tenere la vittima ll’oscuro di tutto quello che sta accadendo, scarica il payload successivo da un secondo indirizzo e si autentica con una chiave inserita direttamente nel codice. Anche questo secondo payload viene eseguito senza essere memorizzato su disco. È a questo punto che entra in scena MacSync Stealer, il malware vero e proprio incaricato di raccogliere le informazioni sensibili dal sistema infetto.
La condivisione di una chat Calude
MacSync Stealer prova innanzitutto ad accedere alle credenziali salvate nel portachiavi di macOS (la funzione di sistema che custodisce password e certificati). Se l'accesso fallisce per mancanza dei permessi necessari, il malware modifica un file di configurazione della shell in modo da rilanciare automaticamente lo script ogni volta che la vittima apre un nuovo terminale, garantendosi così la persistenza, e mostra un messaggio che chiede di concedere l'accesso completo al disco, presentandolo come un passaggio necessario per completare l'operazione. In alternativa, il malware chiede alla vittima di inserire la password direttamente del proprio account macOS.
Una volta ottenuto l'accesso, MacSync Stealer copia i file del Portachiavi, i cookie e le password salvate nei principali browser basati su Chromium (Chrome, Brave, Edge, Opera) e quelli della famiglia Firefox. Cerca inoltre le estensioni più diffuse per la gestione delle password, come Bitwarden, 1Password e LastPass, sottraendone i dati locali quando le trova installate. Il malware raccoglie anche informazioni di sistema utili a profilare la vittima, i file di configurazione che possono contenere chiavi di accesso a servizi cloud come AWS, i dati dell'applicazione desktop di Telegram, e una selezione di documenti prelevati dalle cartelle Download, Documenti e Desktop, filtrando per estensioni che includono PDF, file di testo, chiavi private e portafogli di criptovalute.
Proprio le criptovalute sono uno degli obiettivi principali della campagna: il malware cerca le estensioni browser associate ai wallet più diffusi e copia intere cartelle delle applicazioni desktop per la gestione di criptovalute. Se sul sistema trova installate le applicazioni Ledger Live, Ledger Wallet o Trezor Suite, il malware tenta di scaricare payload aggiuntivi specifici (verosimilmente versioni trojanizzate di quelle stesse applicazioni), anche se Zscaler non è riuscita a recuperarli per l'analisi.
Tutti i dati raccolti vengono compressi in un unico archivio ed esfiltrati verso un server controllato dagli attaccanti, suddividendoli in blocchi da 10 megabyte inviati tramite richieste di rete, con un meccanismo che ritenta automaticamente l'invio fino a otto volte in caso di errore. Al termine dell'operazione, il malware cancella ogni file temporaneo creato durante l'attacco, cercando di non lasciare tracce sul sistema della vittima.
La campagna è rimasta attiva dal 12 al 19 giugno 2026. I ricercatori hanno individuato 22 diverse campagne pubblicitarie collegate all'attacco, che provenivano sempre da Google e che erano innescate da variazioni della ricerca legata a Claude, comprese versioni in lingua diversa dall'inglese. I domini usati per ospitare le fasi successive dell'infezione seguono uno schema riconoscibile: spesso richiamano attività quali studi di consulenza, servizi di pulizia o agenzie immobiliari. All'interno del codice del payload finale, Zscaler ha trovato commenti scritti in lingua russa, che è un indizio importante per comprendere la provenienza dell’attacco.
Il caso ClaudeFix si inserisce nel filone ben noto che sfrutta la popolarità dei modelli AI per colpire gli utenti. Claude è fra quelli maggiormente presi di mira, tanto che non è la prima volta in cui si sente parlare di dinamiche di attacco simili. Kaspersky aveva già acceso i riflettori su una campagna dalle dinamiche molto simili; un'altra campagna analizzata da Cyderes aveva sfruttato il SEO poisoning per posizionare pagine contraffatte tra i primi risultati di ricerca per la chiave di ricerca "claude code install", distribuendo un infostealer capace di eseguirsi interamente in memoria senza mai scrivere file su disco.

Il quadro più ampio in cui si colloca ClaudeFix, però, non riguarda soltanto campagne di malvertising che imitano Claude dall'esterno. Negli ultimi mesi Anthropic ha affrontato una serie di incidenti di sicurezza che hanno riguardato direttamente i propri prodotti. A marzo, un errore di packaging aveva portato alla pubblicazione accidentale su NPM dell'intero codice sorgente di Claude Code, evidenziando come l'esposizione della logica interna dell'agente potesse facilitare la ricerca di vulnerabilità da parte di potenziali attaccanti. Lo stesso mese, un'altra fuga di documenti interni aveva rivelato l'esistenza di Claude Mythos, a maggio è emerso un secondo bypass della sandbox di Claude Code in meno di sei mesi, corretto da Anthropic senza alcun avviso pubblico.
Presi singolarmente, questi episodi hanno cause ed entità molto diverse tra loro, ma messi in fila chiariscono la necessità di un approccio alla sicurezza dei modelli AI di gran lunga superiore allo standard attuale. La velocità con cui si muovono gli attacchi AI e le difficoltà di individuare e contenere una violazione di un modello AI prima che faccia danni enormi è talmente elevata che un errore di ritardo, anche minimo, tra la scoperta di una falla e la sua correzione può tradursi in una finestra di esposizione difficile da colmare, soprattutto quando l'agente coinvolto opera con accesso a credenziali, file system e infrastrutture di produzione.
Esplora altri articoli su questi argomenti
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
16-07-2026
16-07-2026
16-07-2026
16-07-2026