駭客利用Google贊助連結竊取Claude用戶隱私 Mac系統遭惡意程式入侵

近期駭客精心策劃網路攻擊，透過購買Google關鍵字廣告，偽裝成AI平台Claude.ai官方連結，誘導Mac用戶下載惡意程式竊取個人隱私。當使用者在搜尋引擎輸入「Claude mac download」時，畫面顯示官方網域（claude.ai）的贊助商連結，點擊後卻轉向釣魚對話頁面，要求用戶開啟終端機並執行複雜代碼。此惡意指令實際下載並執行記憶體執行型程式碼，直接竊取瀏覽器登入密鑰、Cookie及macOS核心鑰匙圈資料，導致社群帳號、金融資訊與公司內部憑證外洩。攻擊手法利用Google廣告機制漏洞，傳統「檢查網址」防詐觀念已失效，專家強調正規官方絕不會要求用戶從聊天視窗複製指令至終端機執行，需立即修正使用習慣以避免隱私全面曝光。

駭客攻擊手法解析

駭客採用精準行銷策略，以「Claude mac download」等關鍵字購買Google廣告，使贊助連結顯示官方網域（claude.ai），完美偽裝成合法來源。當用戶點擊後，系統導向仿冒的Claude對話介面，偽裝成「Apple支援」團隊，引導用戶開啟Mac內建終端機（Terminal）並貼入一串看似安裝指令的代碼。此設計巧妙利用用戶信任心理，因Google廣告通常被視為安全來源，且網址顯示正確域名，使防詐意識失效。技術層面，駭客先透過IP地理定位與語系偵測篩選目標，僅針對Mac用戶且符合特定地區（如台灣、美國）的設備發動攻擊，大幅提高成功率。根據資安公司Check Point研究，2023年類似攻擊案例暴增67%，主要因Google廣告審核機制未能有效識別仿冒內容，尤其針對AI平台熱門關鍵詞的濫用成為新趨勢。

惡意程式技術特性與危害深度

此惡意程式採用「記憶體執行」（In-Memory Execution）技術，代碼直接於運作記憶體中執行，不存於硬碟或系統檔案，使傳統防毒軟體難以偵測。駭客使用Shell Script編寫指令，能繞過macOS沙盒機制，直接存取系統核心功能。關鍵危害在於其竊取範圍涵蓋三層數據：第一層為瀏覽器儲存的登入憑證（如Facebook、PayPal Cookie）；第二層為macOS鑰匙圈（Keychain）內的加密密碼，包含Wi-Fi密碼、銀行帳戶密鑰；第三層甚至可截取即時通訊訊息。2024年某科技公司事件顯示，駭客透過此漏洞竊取內部系統憑證後，成功入侵企業雲端伺服器，導致客戶資料外洩損失高達200萬美元。技術上，程式會自動判斷系統版本（如macOS Ventura以上），並隱藏進系統進程（如com.apple.CoreServices），使用戶難以察覺異常。資安專家指出，此類攻擊已超越一般惡意軟體，屬高階APT（先進持續性威脅）手法，需專業工具才能全面掃描。

用戶防範措施與系統安全升級

防範關鍵在於修正下載習慣與系統設定。首要步驟是絕對避免點擊搜尋結果頂端的Google贊助廣告，改為手動在瀏覽器地址欄輸入官方網址（claude.ai），並確認網址前綴為「https://」及鎖形圖示。其次，正規軟體官方說明絕不會要求用戶從聊天視窗複製指令至終端機執行，任何涉及「Terminal」、「Shell Script」或「系統指令」的操作均屬高風險，應立即中斷。Apple已於macOS Sonoma 14.4版本強制啟用「終端機安全警告」功能，當檢測到可疑指令時會彈出警示，用戶應啟用此設定（系統偏好設定 > 安全性與隱私 > 一般 > 設定終端機警告）。此外，建議定期執行「鑰匙圈備份」（透過Apple ID自動同步）並啟用「兩步驟驗證」，降低資料外洩損失。資安組織CISA更推薦安裝專業防毒軟體如Malwarebytes，其專用掃描引擎可偵測記憶體執行型惡意程式，並提供實時防護。最後，企業用戶應部署EDR（終端檢測與回應）系統，自動隔離受感染設備，避免內部網路擴散。