Un piège sophistiqué utilise les annonces Google ainsi que des discussions partagées sur Claude pour cibler les utilisateurs de Mac. Des pirates détournent des conversations légitimes du chatbot pour propager un variant de MacSync, un malware très dangereux.

Votre Mac est en danger si vous avez cherché à télécharger l'IA Claude sur Google. © Compte X @ChristopheMzzl
Votre Mac est en danger si vous avez cherché à télécharger l'IA Claude sur Google. © Compte X @ChristopheMzzl

Le chercheur en cybersécurité Berk Albayrak a révélé le dimanche 10 mai 2026 une campagne de piratage mêlant Google Ads et la plateforme Claude.ai. En croyant installer l'outil Claude Code depuis le moteur de recherche Google, les victimes exécutent une commande terminal qui infecte en silence leur Mac avec un malware de type infostealer (un voleur d'informations), jugé redoutable. Une manipulation en apparence inoffensive qui cache donc en fait un logiciel espion polymorphe particulièrement difficile à détecter.

Des pirates détournent les publicités Google et les discussions partagées de Claude

Le piège s'amorce sur Google directement, avec une recherche pour télécharger l'application Claude Code sur macOS. Là, l'utilisateur tombe sur une annonce sponsorisée qui mène au domaine officiel « claude.ai ». Plutôt que de bâtir un site factice, les pirates détournent une vraie « discussion partagée » pour y orchestrer un faux guide d'installation. Ce camouflage ingénieux exploite la crédibilité de l'outil pour transformer une fonction rassurante en un piège redoutable.

Pour parfaire l'arnaque, les pirates usurpent l'identité du support technique d'Apple directement sur la plateforme d'Anthropic. La page affirme faussement que la méthode est sûre et qu'elle n'affectera jamais vos données personnelles ou votre système. On y incite l'utilisateur à ouvrir son terminal pour exécuter une commande simple, une manipulation de plus en plus courante chez les développeurs.

La commande « curl » affichée cache un secret technique. Elle utilise l'encodage Base64 pour masquer sa destination finale. Une fois lancée, elle contacte le domaine customroofingcontractors[.]com pour télécharger le script d'infection. L'utilisateur pense installer l'outil Claude Code, mais il vient en réalité d'ouvrir la porte à une variante du logiciel malveillant MacSync.

La page Claude authentique en question. © Capture d'écran Clubic
La page Claude authentique en question. © Capture d'écran Clubic

Un logiciel malveillant polymorphe capable de contourner les antivirus classiques

Le malware MacSync, identifié par Berk Albayrak, est d'une discrétion absolue, ce qui le rend plus que dangereux. Il utilise une livraison dite « polymorphe », qui lui permet de générer un code différent à chaque requête pour échapper aux antivirus classiques. En s'exécutant presque entièrement en mémoire vive, il ne laisse pratiquement aucune trace physique suspecte sur le disque dur.

Avant de frapper, le script effectue un profilage minutieux de votre machine. Il récolte l'adresse IP, le nom de l'ordinateur et la version du système pour s'assurer que la cible est intéressante. Ces données sont transmises aux serveurs des pirates, qui peuvent alors adapter la charge virale finale selon les spécificités de votre Mac.

Un mécanisme de protection étonnant a également été repéré dans le code source par les experts. Le malware vérifie si un clavier russe ou de la zone CIS (Russie, Arménie, Biélorussie, Ouzbékistan, Azerbaïdjan etc) est configuré sur le système. Si c'est le cas, il s'autodétruit silencieusement, sans rien voler. Cette précaution permet aux attaquants de rester sous le radar des autorités locales.

Protégez votre Trousseau d'accès et vos sessions de navigation web

Une fois installé, MacSync commence le pillage de vos données les plus sensibles. Il s'attaque aux navigateurs pour extraire vos identifiants et surtout vos précieux cookies de session. Ces derniers permettent aux hackers de contourner la double authentification pour accéder directement à vos comptes bancaires ou vos réseaux sociaux personnels.

Le malware va plus loin en ciblant la fonction « Trousseaux d'accès » (Keychain Access), le coffre-fort des mots de passe de votre Mac. En détournant « osascript », un outil de commande au système, il dérobe les clés de sécurité et certificats stockés au cœur de votre ordinateur. Vos secrets numériques se retrouvent entre les mains de cybercriminels, sans que vous n'ayez vu la moindre alerte s'afficher.

Pour se protéger, ce qu'on peut vous conseiller, c'est de ne jamais cliquer jamais sur les annonces sponsorisées pour vos téléchargements. Naviguez directement vers le site officiel d'Anthropic, consultez leur documentation officielle ou des outils comme Claude Security. Rappelez-vous qu'aucun chat partagé ne devrait vous demander d'exécuter des lignes de commande. La vigilance reste votre meilleur rempart face à ces attaques.

Comme quoi, en 2026, même l'autorité d'un nom de domaine officiel ne dispense plus d'une vigilance humaine de chaque instant face aux ruses de l'ingénierie sociale.