Egy új ClickFix támadási variáns klónozott weboldalakat használ népszerű fejlesztői eszközök nevében, hogy információlopó kártevőket terjesszen, számolt be róla a Push Security. Az „InstallFix” névre keresztelt kampány során a támadók úgynevezett malvertising technikát alkalmaznak: rosszindulatú hirdetésekkel csábítják az áldozatokat olyan, legitimnek tűnő telepítési oldalakra, ahol az eredeti telepítési parancsokat manipulált, kártékony parancsokra cserélték.
A támadás egyik variánsa az Anthropic Claude Code CLI eszköz iránti fokozott érdeklődést használja ki. A támadók Google Ads-en keresztüli, rosszindulatú hirdetésekkel növelik a klónozott oldal látógatóinak számát, amely így a szponzorált keresési találatok között jelenik meg. Maga a hamis oldal szinte pixelről-pixelre megegyezik az eredeti weboldallal. A rajta található egysoros telepítési parancs azonban nem a Claude Code telepítőszkriptjét tölti le, hanem egy támadó által kontrollált szerverre mutat, amely egy információlopó kártevőt terjeszt.
Amint az áldozat elindítja a végrehajtási láncot, a cmd.exe folyamat meghívja az mshta.exe komponenst, amely egy távoli szerverről tölti le és futtatja a kártékony kódot. Ennek eredményeként az eszközön Amatera Stealer fertőzés jön létre. A kutatók több olyan webhelyet is azonosítottak, amelyek ugyan ezeket a binárisokat futtatták, ami arra utal, hogy ezek egyetlen, összehangolt támadási kampány részét képezik.
A kiberbiztonsági cég arra is felhívta a figyelmet, hogy a kiberbűnözők legitim szolgáltatásokat és domaineket, például Cloudflare Pages-t, Squarespace-t és Tencent EdgeOne-t használnak a rosszindulatú tartalmak hosztolására, így a forgalmuk könnyebben beleolvad a normál webes aktivitásba.
A kutatók emellett olyan eseteket is megfigyeltek, amikor a támadók nyilvános claude.ai oldalakon helyeztek el rosszindulatú terminálparancsokat, a Homebrew weboldal klónjain keresztül pédául Cuckoo infostealer kártevőt terjesztettek, hamis OpenClaw telepítőket publikáltak bizonyos GitHub repókban, valamint malware-t juttattak a felhasználókhoz a Claude Code-ot utánzó NPM csomagok segítségével.
A Push Security hangsúlyozza, hogy ez nem csupán a Claude körüli ökoszisztéma problémája. Gyakorlatilag bármely olyan eszköz vagy weboldal célponttá válhat, amely nagy kattintásszámot generál, és viszonylag könnyen klónozható, ezek ugyanis ideális célpontjai a malvertising és az identitás-hamisítás alapú támadásoknak.