Cibercriminosos estão usando uma nova variação da técnica de engenharia social ClickFix, chamada InstallFix, para convencer usuários a executar comandos maliciosos sob o pretexto de instalar ferramentas legítimas via linha de comando (CLI).
Essa abordagem explora a prática comum entre desenvolvedores de baixar e rodar scripts diretamente da internet por meio de comandos ‘curl-to-bash’, muitas vezes sem verificar adequadamente a origem ou o conteúdo dos arquivos.
Pesquisadores da Push Security, empresa especializada em detecção e resposta a ameaças em navegadores, identificaram que os atacantes aplicam a técnica InstallFix em páginas clonadas de ferramentas CLI populares, inserindo comandos de instalação que, na verdade, distribuem malware.
Atualmente, o modelo de segurança se baseia na confiança no domínio do site, o que, segundo os pesquisadores, representa um risco crescente, especialmente porque usuários menos técnicos estão adotando ferramentas antes restritas a desenvolvedores.
Em relatório recente, a Push Security destacou um site falso que imita a página de instalação do Claude Code, assistente de código por linha de comando da Anthropic.
A página clonada mantém o mesmo layout, identidade visual e barra lateral de documentação do site original.
A diferença crucial está nos comandos de instalação para macOS e Windows (via PowerShell e Prompt de Comando), que redirecionam para um servidor controlado pelos atacantes e entregam malware.
Além disso, todos os demais links da página falsa direcionam para o site legítimo da Anthropic, facilitando que a vítima continue o uso sem perceber a fraude, conforme ressaltam os pesquisadores.
Os criminosos promovem essas páginas fraudulentas por meio de campanhas de malvertising em anúncios do Google, fazendo com que anúncios maliciosos apareçam nos resultados de busca por termos como “Claude Code install” e “Claude Code CLI”.
Por exemplo, a pesquisa pela expressão “install claude code” retorna como primeiro resultado uma URL no Squarespace (claude-code-cmd.squarespace[.]com) que replica fielmente a documentação oficial do Claude Code.
Segundo a análise da Push Security, o payload entregue pelos ataques InstallFix é o Amatera Stealer, um malware projetado para roubar dados sensíveis, como carteiras de criptomoedas e credenciais, de máquinas infectadas.
Nos comandos maliciosos para macOS, há instruções codificadas em base64 para baixar e executar um binário hospedado em um domínio sob controle dos atacantes.
Em um caso, foi utilizado o domínio wriconsult[.]com, atualmente offline.
No Windows, os comandos exploram a ferramenta legítima ‘mshta.exe’ para baixar o malware e acionam processos adicionais, como o ‘conhost.exe’, que auxiliam na execução do payload final, o Amatera Stealer.
O Amatera é uma família relativamente nova de malware, possivelmente derivada do ACR Stealer, e disponibilizada como MaaS (Malware as a Service) para criminosos cibernéticos.
Recentemente, foi identificada em outras campanhas também baseadas na técnica ClickFix, que abusam dos scripts do Windows App-V para entrega de payloads.
O malware é capaz de roubar senhas, cookies, tokens de sessão armazenados em navegadores e informações do sistema, além de evitar a detecção por ferramentas de segurança.
Para se proteger, usuários que desejam instalar o Claude Code devem buscar as instruções apenas nos sites oficiais, evitar clicar em resultados patrocinados do Google relacionados e criar favoritos dos portais oficiais de download para facilitar futuras reinstalações de forma segura.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...