黑客滥用Claude.ai共享聊天功能实施ClickFix攻击，窃取敏感数据

黑客正越来越多地利用受信任的AI平台实施复杂的社交工程攻击。最新攻击活动中，攻击者滥用Claude.ai的共享聊天功能托管恶意ClickFix指令。

Part01

攻击活动技术分析

据TrendAI研究显示，攻击者在七周内分六波攻势部署了106个独特的恶意主机名，持续轮换基础设施并测试不同AI主题诱饵以最大化攻击效果。该行动标志着ClickFix战术的重大演变——从传统的恶意托管转向Claude.ai等可信平台。

攻击最初依赖GitLab Pages，使用超过90个托管在可信*.gitlab.io域名下的恶意子域名。这些页面伪装成Claude AI、ChatGPT Codex、Perplexity、Cursor IDE和JetBrains等热门AI开发工具。通过投放Google广告，威胁行为者精准锁定搜索这些工具的用户，提高了技术人员中招的概率。

Part02

共享聊天功能遭恶意利用

ClickFix攻击通过诱骗用户手动执行恶意命令实施。本次攻击中，受害者被诱导在"安装或修复软件"的幌子下复制粘贴终端或PowerShell命令。这种技术能绕过多数传统安全控制，因为用户会在不知情的情况下执行有效载荷。

2026年5月，攻击出现重大升级——攻击者转而滥用Claude.ai的共享聊天功能。恶意广告不再将受害者导向可疑域名，而是重定向至合法的Claude.ai共享聊天链接。这些页面极具迷惑性，能有效规避浏览器警告、URL检查和安全浏览保护。

Part03

攻击流程与目标分析

受害者访问页面后，会看到伪装成Apple支持团队或开发团队的虚假支持对话。聊天记录提供分步指导，要求用户打开终端执行命令。这些命令通常包含base64编码脚本，解码后会获取第二阶段有效载荷。

分析显示，载荷会投递针对macOS系统的MacSync信息窃取程序。该恶意软件会收集浏览器凭证、Cookie、SSH密钥和加密货币钱包数据，并外泄至攻击者控制的服务器。值得注意的是，恶意软件会检测俄语键盘布局，可能旨在避免感染独联体地区的系统。

Part04

地域分布与平台响应

攻击主要针对亚太地区，该区域受害者占比超过67%。仅台湾地区就占观测流量的30%以上，其次是日本和新加坡。后期攻击波次扩展至印度、法国和意大利等国，表明广告投放策略正在持续优化。

TrendAI研究人员在早期阶段观察到至少45个恶意Claude.ai共享聊天实例，后期增至60多个。这种转向可信基础设施的做法消除了许多传统检测信号，使得用户意识成为主要防御手段。