Le chat condivise di Claude, il chatbot di Anthropic, sono diventate l’ultimo terreno di caccia per campagne di malvertising che puntano a trasformare un dominio considerato affidabile in un veicolo per il malware. Il caso è emerso a maggio 2026, quando Trend Micro ha collegato una serie di falsi installer di Claude e Claude Code a una campagna più ampia, mentre altri ricercatori hanno documentato l’uso delle pagine condivise di claude.ai per convincere utenti macOS a copiare comandi nel terminale e installare software malevolo.
Il nodo centrale è economico prima ancora che tecnico: i criminali stanno monetizzando la fiducia nei marchi dell’intelligenza artificiale per aumentare il tasso di infezione, ridurre i costi di distribuzione e aggirare i filtri basati sulla reputazione dei domini.
Indice degli argomenti:
Come funziona la trappola
La tecnica descritta dai ricercatori parte quasi sempre da un gesto comune: cercare su Google come installare Claude o Claude Code. Secondo Trend Micro, la campagna InstallFix ha diffuso pagine di installazione false tramite annunci sponsorizzati che apparivano in cima ai risultati di ricerca per query come “Claude Code” e “Claude Code install”.
Gli utenti, vedendo un collegamento promosso e un marchio noto, abbassano la soglia di attenzione. In diversi casi i criminali hanno spinto la truffa ancora più avanti, facendo comparire come destinazione un dominio autentico, claude.ai, perché le istruzioni malevole erano ospitate dentro la funzione di condivisione delle chat della stessa piattaforma.
Qui sta il salto di qualità. Nelle campagne di phishing tradizionali il dominio sospetto è uno dei segnali più semplici da riconoscere. In questo caso, invece, il link può puntare davvero a claude.ai o a chatgpt.com. Push Security, in un’analisi pubblicata il 29 maggio 2026, ha definito questo schema “LLMShare”: contenuti malevoli distribuiti attraverso pagine condivise di chatbot ospitate su domini legittimi e veicolate con malvertising o seo poisoning.
Per l’utente la pagina sembra credibile; per molti strumenti di difesa il dominio non appare anomalo; per chi compra pubblicità malevola il costo di acquisizione della vittima si riduce perché il tasso di clic migliora.
Il caso Claude su Mac
La variante più discussa nelle ultime settimane ha preso di mira gli utenti Mac. BleepingComputer ha ricostruito una campagna attiva in cui chi cercava “Claude mac download” trovava annunci sponsorizzati che rimandavano a chat condivise di Claude presentate come guide ufficiali, in un caso perfino attribuite a “Apple Support”. Le istruzioni spingevano l’utente ad aprire il terminale e incollare un comando che scaricava ed eseguiva il payload.
Il ricercatore Berk Albayrak ha individuato una prima chat malevola; BleepingComputer ne ha trovata una seconda, con infrastruttura diversa ma lo stesso schema operativo.
Il malware distribuito in quella campagna è stato associato a MacSync, una famiglia di infostealer progettata per macOS. Secondo le ricostruzioni pubblicate nelle settimane successive, il codice punta a sottrarre credenziali dei browser, dati del portachiavi di macOS e altre informazioni utili per il furto di account o per accessi successivi. È il tipo di bottino che ha un valore diretto sul mercato criminale: login riutilizzabili, cookie di sessione, credenziali aziendali, dati dei wallet e accessi a servizi cloud possono essere rivenduti o usati come trampolino per frodi più redditizie.
Trend Micro: dal singolo caso a una campagna più ampia
Trend Micro colloca questi episodi in un quadro più largo. Nel report “InstallFix and Claude Code: How Fake Install Pages Lead to Real Compromise”, pubblicato il 5 maggio 2026, la società descrive una campagna che prende di mira utenti e organizzazioni in più regioni: Americhe, Europa, Asia-Pacifico, Medio Oriente e Africa. I paesi osservati includono Stati Uniti, Paesi Bassi, Thailandia e Malesia; tra i settori colpiti compaiono governo, elettronica, istruzione e food & beverage. Non si tratta quindi di una truffa improvvisata, ma di un’operazione con una distribuzione geografica e industriale già ampia.
Il report segnala anche una catena d’infezione più sofisticata di quella vista nelle sole chat condivise per Mac. Gli aggressori usano pagine di installazione realistiche, differenziate per sistema operativo, e spingono le vittime a eseguire comandi PowerShell. Da lì partono mshta.exe, script offuscati, payload fileless, bypass di AMSI, disattivazione della validazione dei certificati SSL e creazione di task pianificati per la persistenza.
Trend Micro scrive di aver osservato traffico verso server di comando e controllo con URL unici per vittima. In termini economici, questo significa una campagna pensata per durare, eludere i controlli e massimizzare il ritorno su ogni infezione riuscita.
Perché i marchi AI sono diventati una leva criminale
Microsoft ha fotografato il quadro generale l’8 giugno 2026 in un post del proprio team di threat intelligence: negli ultimi mesi sono aumentate le campagne che usano come esca i marchi di piattaforme AI popolari come ChatGPT, Microsoft Copilot, DeepSeek e Claude. Microsoft precisa che si tratta di abuso del brand e non di compromissione dei fornitori citati. La distinzione è importante: il problema non è che il servizio AI sia stato violato, ma che la sua notorietà riduce l’attrito psicologico dell’attacco. Un utente che installa un prodotto poco conosciuto è prudente; un utente convinto di scaricare o aggiornare un assistente AI famoso tende a fidarsi di più.
Per un gruppo criminale questa fiducia è un asset. La popolarità dell’AI genera volumi di ricerca elevati, un pubblico ampio e spesso abituato a usare terminale, estensioni, script e strumenti da sviluppatore. Trend Micro osserva che il bacino delle possibili vittime si allarga sia agli sviluppatori sia agli utenti non tecnici, sempre più esposti a istruzioni “copia e incolla” per installare strumenti moderni.
Il risultato è una miscela favorevole agli attaccanti: una forte domanda, comportamenti d’uso permissivi e un contesto in cui un comando nel terminale può sembrare normale.
L’evoluzione del metodo ClickFix
La parola chiave tecnica è ClickFix, una forma di ingegneria sociale che non sfrutta una vulnerabilità software, ma convince la vittima a eseguire da sola il comando dannoso. Microsoft ha segnalato il 5 febbraio 2026 una variante chiamata CrashFix: i criminali provocano il crash del browser e poi mostrano istruzioni per “ripristinare” il funzionamento, inducendo l’utente a lanciare comandi malevoli. L’elemento costante è sempre lo stesso: trasformare un’azione che appare di supporto o manutenzione in esecuzione volontaria del payload.
La stessa logica compare fuori dal perimetro delle piattaforme AI. Rapid7 ha documentato a marzo 2026 oltre 250 siti WordPress compromessi in almeno 12 paesi, dai media locali alle piccole imprese, usati per mostrare falsi controlli CAPTCHA in stile Cloudflare e distribuire infostealer.
L’attività, secondo Rapid7, è in corso da dicembre 2025. La connessione con il caso Claude è netta: in entrambi gli scenari il criminale non costruisce da zero un dominio sospetto, ma si appoggia a contesti già percepiti come affidabili, che siano una piattaforma AI famosa o un sito di notizie regionale.
Un modello di business più che un semplice attacco
Dietro queste campagne c’è una logica industriale. Il malvertising consente di comprare visibilità immediata; l’uso di domini legittimi aumenta la conversione; gli infostealer offrono un ritorno economico rapido perché i dati rubati sono facilmente monetizzabili. Credenziali aziendali, cookie, wallet, account email e accessi a servizi di sviluppo hanno un prezzo sui mercati criminali o possono essere usati per ulteriori intrusioni, ransomware e frodi finanziarie. La novità non è l’esistenza del furto di credenziali, ma la combinazione tra advertising, AI hype e domini affidabili che abbassa il costo per attacco riuscito.
Per le piattaforme AI questo apre anche un problema reputazionale.
Anthropic spiega nella propria documentazione che le chat sono private per impostazione predefinita, ma possono essere condivise tramite link pubblici. È una funzione utile per collaborazione e supporto, ma, come accade con ogni strumento di pubblicazione, può essere sfruttata in modo improprio. Quando il contenuto malevolo viene ospitato su un dominio noto, la reputazione del marchio finisce dentro la catena di attacco, anche se l’azienda non è tecnicamente compromessa.
Che cosa cambia per aziende e utenti
Per le imprese il rischio non riguarda solo il dipendente che scarica il falso installer. Le campagne descritte da Trend Micro mirano anche a raccogliere informazioni di sistema, a stabilire persistenza e a collegarsi a server di comando e controllo da cui scaricare ulteriori payload. In un ambiente aziendale questo può tradursi in furto di credenziali privilegiate, movimento laterale e violazioni più costose. L’uso di URL unici per vittima e di strumenti di sistema legittimi rende inoltre più difficile distinguere il traffico malevolo da quello normale.
Per gli utenti privati il punto critico è un altro: non basta più controllare se il dominio è corretto. Il caso Claude mostra che anche un link autentico può ospitare contenuti pericolosi se la piattaforma permette la pubblicazione di materiale condivisibile. La verifica deve quindi spostarsi sul contesto: da dove arriva quel link, chi lo ha pubblicato, perché una guida di installazione chiede di incollare un comando nel terminale, perché un annuncio sponsorizzato precede il sito ufficiale, perché un messaggio attribuito ad “Apple Support” compare dentro una chat condivisa di un chatbot.
Le notizie più recenti confermano la tendenza
Le ricerche pubblicate tra maggio e giugno 2026 indicano che non si tratta di un episodio isolato. Push Security ha descritto varianti che usano non solo Claude ma anche ChatGPT, arrivando a creare pagine progettate con le funzioni di rendering del chatbot.
Microsoft ha allargato il focus all’intero ecosistema dei brand AI.
Trend Micro, già ad aprile, aveva osservato criminali pronti a sfruttare perfino il packaging error del rilascio npm di Claude Code per diffondere Vidar, GhostSocks e PureLog Stealer. La sequenza è chiara: appena un marchio AI guadagna attenzione, cresce quasi in parallelo la sua utilità come esca per malware, phishing e frodi.
Il dato più rilevante è che il vettore non dipende da una sola tecnologia. Google Ads, seo poisoning, pagine condivise dei chatbot, siti WordPress compromessi, falsi CAPTCHA e guide di installazione sono tasselli intercambiabili di uno stesso modello operativo. Quando uno strumento perde efficacia, i gruppi criminali ne spostano un altro al centro della catena.
Per questo la vicenda Claude conta oltre il caso specifico: mostra come la fiducia digitale, non il bug software, stia diventando il bene più sfruttato nelle campagne di malware moderne.
Il punto economico del caso
L’aspetto decisivo è che questi attacchi sfruttano la stessa infrastruttura reputazionale che sostiene l’economia dell’AI. Più un marchio è cercato, più attira investimenti pubblicitari legittimi, tutorial, guide e condivisioni; più è cercato, più diventa redditizio imitarlo o usarlo come contenitore.
Il caso delle chat condivise di Claude non racconta soltanto un nuovo trucco informatico. Racconta la trasformazione della fiducia in un asset negoziabile: prima costruita da piattaforme e brand, poi acquistata dai criminali attraverso inserzioni, contenuti condivisi e interfacce che imitano il supporto tecnico. È su questo mercato grigio della fiducia che si giocherà una parte crescente della sicurezza digitale nei prossimi mesi.
Partecipa alla community