claude malvertising

Claude dans le malvertising : les malwares via les chats partagés

ParSteven de Simseo

Les chats partagés de Claude, le chatbot d’Anthropic, sont devenus le dernier terrain de chasse pour les campagnes de publicité malveillante visant à transformer un domaine de confiance en un véhicule de malware. L’affaire est apparue en mai 2026, lorsque Trend Micro a lié une série de faux installateurs Claude et Claude Code à une campagne plus large, tandis que d’autres chercheurs ont documenté l’utilisation des pages partagées claude.ai pour convaincre les utilisateurs de macOS de copier des commandes dans le terminal et d’installer des logiciels malveillants.

Le problème est plus économique que technique : les criminels monétisent la confiance dans les marques d’IA pour augmenter les taux d’infection, réduire les coûts de distribution et contourner les filtres basés sur la réputation du domaine.

Comment fonctionne le piège

La technique décrite par les chercheurs part presque toujours d’un geste commun : chercher sur Google comment installer Claude ou Claude Code. Selon Trend Micro, la campagne InstallFix a diffusé de fausses pages d’installation via des publicités sponsorisées qui apparaissaient en haut des résultats de recherche pour des requêtes telles que « Claude Code » et « Claude Code installer ».

Les utilisateurs, voyant un lien promu et une marque bien connue, abaissent leur seuil d’attention. Dans plusieurs cas, les criminels ont poussé l’arnaque encore plus loin, en faisant apparaître comme destination un domaine authentique, claude.ai, car les instructions malveillantes étaient hébergées dans la fonction de partage de chat de la même plateforme.

C’est là que réside le saut de qualité. Dans les campagnes de phishing traditionnelles, un domaine suspect est l’un des signes les plus faciles à reconnaître. Dans ce cas, cependant, le lien peut en fait pointer vers claude.ai ou chatgpt.com. Push Security, dans une analyse publiée le 29 mai 2026, a défini ce modèle « LLMPartager »: contenu malveillant distribué via des pages de chatbot partagées hébergées sur des domaines légitimes et livré avec une publicité malveillante ou un empoisonnement SEO.

Pour l’utilisateur, la page semble crédible ; pour de nombreux outils de défense, le domaine ne semble pas anormal ; pour ceux qui achètent de la publicité malveillante, le coût d’acquisition de la victime est réduit car le taux de clics s’améliore.

L’affaire Claude sur Mac

La variante la plus discutée ces dernières semaines a ciblé les utilisateurs de Mac. BipOrdinateur a reconstitué une campagne active dans laquelle ceux qui cherchaient «Téléchargement Mac Claude » trouvé des publicités sponsorisées liées aux discussions partagées de Claude présentées comme des guides officiels, dans un cas même attribués au « Support Apple ». Les instructions invitaient l’utilisateur à ouvrir le terminal et à coller une commande qui téléchargeait et exécutait la charge utile.

Le chercheur Berk Albayrak a identifié un premier chat malveillant ; BleepingComputer en a trouvé un deuxième, avec une infrastructure différente mais le même schéma de fonctionnement.

Le malware distribué dans le cadre de cette campagne était associé à MacSync, une famille de voleurs d’informations conçus pour macOS. Selon les reconstructions publiées dans les semaines suivantes, le code vise à voler les informations d’identification du navigateur, les données du trousseau macOS et d’autres informations utiles pour le vol de compte ou les connexions ultérieures. C’est le type de butin qui a une valeur directe sur le marché criminel : les identifiants réutilisables, les cookies de session, les identifiants d’entreprise, les données de portefeuille et l’accès aux services cloud peuvent être revendus ou utilisés comme tremplin pour des fraudes plus rentables.

Trend Micro : D’un cas unique à une campagne plus vaste

Trend Micro place ces épisodes dans un contexte plus large. Dans le rapport « InstallFix et Claude Code : comment les fausses pages d’installation conduisent à de véritables compromis »publiée le 5 mai 2026, la société décrit une campagne ciblant les utilisateurs et les organisations dans plusieurs régions : Amériques, Europe, Asie-Pacifique, Moyen-Orient et Afrique. Les pays observés comprennent les États-Unis, les Pays-Bas, la Thaïlande et la Malaisie ; Les secteurs concernés comprennent le gouvernement, l’électronique, l’éducation et l’alimentation et les boissons. Il ne s’agit donc pas d’une arnaque improvisée, mais d’une opération à la répartition géographique et industrielle déjà large.

Le rapport souligne également une chaîne d’infection plus sophistiquée que celle observée uniquement dans les discussions partagées sur Mac. Les attaquants utilisent des pages d’installation réalistes, différenciées par système d’exploitation, et poussent les victimes à exécuter des commandes PowerShell. À partir de là démarre mshta.exe, des scripts obscurcis, des charges utiles sans fichier, contournant AMSI, désactivant la validation du certificat SSL et créant des tâches planifiées pour la persistance.

Trend Micro écrit avoir observé le trafic vers les serveurs de commande et de contrôle avec des URL uniques par victime. En termes économiques, cela signifie une campagne conçue pour durer, échapper aux contrôles et maximiser le retour sur chaque infection réussie.

Pourquoi les marques d’IA sont devenues un levier criminel

Microsoft a dressé un tableau d’ensemble le 8 juin 2026 dans un article de son équipe de renseignement sur les menaces : les campagnes utilisant des marques de plateformes d’IA populaires telles que ChatGPT, Microsoft Copilot, DeepSeek et Claude comme appâts ont augmenté ces derniers mois. Microsoft précise qu’il s’agit d’un abus de marque et non d’une compromission des fournisseurs évoqués. La distinction est importante : le problème n’est pas que le service d’IA a été piraté, mais que sa notoriété réduit la friction psychologique de l’attaque. Un utilisateur qui installe un produit peu connu est prudent ; un utilisateur convaincu de télécharger ou de mettre à jour un célèbre assistant IA a tendance à lui faire davantage confiance.

Pour un groupe criminel, cette confiance est un atout. La popularité de l’IA génère des volumes de recherche élevés, une audience large et souvent habituée à utiliser des terminaux, des extensions, des scripts et des outils de développement. Trend Micro observe que le bassin de victimes potentielles s’étend à la fois aux développeurs et aux utilisateurs non techniques, qui sont de plus en plus exposés à des instructions de type « copier-coller » pour installer des outils modernes.

Le résultat est un mélange favorable aux attaquants : une forte demande, un comportement d’utilisation permissif et un contexte dans lequel une commande dans le terminal peut paraître normale.

L’évolution de la méthode ClickFix

Le mot-clé technique est ClickFix, une forme d’ingénierie sociale qui n’exploite pas de vulnérabilité logicielle, mais convainc la victime d’exécuter elle-même la commande malveillante. Microsoft a signalé une variante appelée CrashFix le 5 février 2026 : les criminels provoquent le crash du navigateur, puis affichent des instructions pour « restaurer » le fonctionnement, incitant l’utilisateur à lancer des commandes malveillantes. L’élément constant est toujours le même : transformer une action qui apparaît comme du support ou de la maintenance en exécution volontaire de la charge utile.

La même logique apparaît en dehors du périmètre des plateformes d’IA. Rapid7 a documenté plus de 250 sites WordPress piratés dans au moins 12 pays en mars 2026, des médias locaux aux petites entreprises, utilisés pour afficher de faux contrôles CAPTCHA de style Cloudflare et distribuer des infostealers.

L’activité, selon Rapid7, se poursuit depuis décembre 2025. Le lien avec l’affaire Claude est clair : dans les deux scénarios, le criminel ne construit pas un domaine suspect à partir de zéro, mais s’appuie sur des contextes déjà perçus comme fiables, qu’il s’agisse d’une célèbre plateforme d’IA ou d’un site d’information régional.

Un business model plus qu’une simple attaque

Il y a une logique industrielle derrière ces campagnes. La publicité malveillante vous permet d’acheter une visibilité immédiate ; l’utilisation de domaines légitimes augmente la conversion ; Les infostealers offrent un retour financier rapide car les données volées peuvent être facilement monétisées. Les informations d’identification de l’entreprise, les cookies, les portefeuilles, les comptes de messagerie et l’accès aux services de développement sont tarifés sur les marchés criminels ou peuvent être utilisés pour d’autres intrusions, ransomwares et fraudes financières. La nouvelle n’est pas l’existence d’un vol d’identifiants, mais la combinaison de la publicité, du battage médiatique de l’IA et des domaines de confiance qui réduit le coût par attaque réussie.

Pour les plateformes d’IA, cela pose également un problème de réputation.

Anthropic explique dans sa documentation que les discussions sont privées par défaut, mais peuvent être partagées via des liens publics. Il s’agit d’une fonctionnalité utile pour la collaboration et l’assistance, mais, comme pour tout outil de publication, elle peut être utilisée à mauvais escient. Lorsqu’un contenu malveillant est hébergé sur un domaine connu, la réputation de la marque se retrouve dans la chaîne d’attaque, même si l’entreprise n’est pas techniquement compromise.

Quels changements pour les entreprises et les utilisateurs

Pour les entreprises, le risque ne concerne pas uniquement le salarié qui télécharge le faux installateur. Les campagnes décrites par Trend Micro visent également à collecter des informations système, à établir la persistance et à se connecter à des serveurs de commande et de contrôle à partir desquels télécharger des charges utiles supplémentaires. Dans un environnement d’entreprise, cela peut se traduire par un vol d’identifiants privilégiés, des mouvements latéraux et des violations plus coûteuses. L’utilisation d’URL uniques par victime et d’outils système légitimes rend également plus difficile la distinction du trafic malveillant du trafic normal.

Pour les utilisateurs privés, le point critique est un autre : il ne suffit plus de vérifier si le domaine est correct. Le cas Claude montre que même un lien authentique peut héberger du contenu dangereux si la plateforme permet la publication de matériel partageable. La vérification doit donc se déplacer vers le contexte : d’où vient ce lien, qui l’a publié, pourquoi un guide d’installation vous demande de coller une commande dans le terminal, pourquoi une annonce sponsorisée précède le site officiel, pourquoi un message attribué au « Support Apple » apparaît dans un chat partagé d’un chatbot.

Les dernières nouvelles confirment la tendance

Des recherches publiées entre mai et juin 2026 indiquent qu’il ne s’agit pas d’un incident isolé. Sécurité poussée décrit des variantes qui utilisent non seulement Claude mais également ChatGPT, ce qui donne lieu à des pages conçues avec les fonctions de rendu du chatbot.

Microsoft a élargi son champ d’action à l’ensemble de l’écosystème des marques d’IA.

Trend Micro, déjà en avril, avait observé des criminels prêts à exploiter même l’erreur d’empaquetage de la version npm de Claude Code pour diffuser Vidar, GhostSocks et PureLog Stealer. La séquence est claire : à mesure qu’une marque d’IA attire l’attention, son utilité en tant qu’appât pour les logiciels malveillants, le phishing et la fraude augmente presque parallèlement.

Le fait le plus important est que le transporteur ne dépend pas d’une seule technologie. Google Ads, l’empoisonnement du référencement, les pages de chatbot partagées, les sites WordPress compromis, les faux CAPTCHA et les guides d’installation sont des éléments interchangeables du même modèle opérationnel. Lorsqu’un outil perd de son efficacité, les groupes criminels en déplacent un autre au centre de la chaîne.

C’est pourquoi l’affaire Claude est importante au-delà du cas spécifique : elle montre comment la confiance numérique, et non les bugs logiciels, est en train de devenir l’atout le plus exploité dans les campagnes de malware modernes.

Le point économique de l’affaire

Fondamentalement, ces attaques exploitent la même infrastructure de réputation qui soutient l’économie de l’IA. Plus une marque est recherchée, plus elle attire des investissements publicitaires légitimes, des tutoriels, des guides et des partages ; plus on le recherche, plus il devient rentable de l’imiter ou de l’utiliser comme contenant.

Le cas des chats partagés de Claude n’est pas seulement une nouvelle astuce informatique. Il raconte la transformation de la confiance en un bien négociable : d’abord construit par les plateformes et les marques, puis acheté par les criminels via des publicités, des contenus partagés et des interfaces imitant le support technique. C’est sur ce marché gris de la confiance que se jouera une part croissante de la sécurité numérique dans les mois à venir.

Steven de Simseo
Steven de Simseo

Steven, rédacteur en chef et moteur de Simseo, fusionne une expertise en intelligence artificielle avec une vision futuriste. Pionnier dans son domaine, il guide son équipe avec passion, transformant les complexités de l'IA en récits captivants et accessibles pour le grand public.