Lažne stranice Anthropica šire software za krađu podataka među korisnicima Claude Code alata
Lažne stranice Anthropica šire sofisticirani infostealer kroz ClickFix kampanju ciljanu na nove korisnike Claude Code alata.
Šta se desilo?
Bezbednosna firma Cyderes otkrila je aktivnu kampanju za krađu akreditivnih podataka koja se ciljano obrača prvim korisnicima Claude Code alata od Anthropica. Napadači koriste SEO otrovanju da odvrate osobe na lažne stranice, odakle ih navode da izvrše maliciozne komande putem Windows Run dijaloga, što pokreće lanac napada poznat kao ClickFix.
Koga pogađa?
Kampanja je posebno opasnba za vlasnike malih preduzeća, preduzetnike i nastavnike koji nov koriste Claude Code i često nemaju naprednu zaštitu kao velika preduzeća. Takođe su u riziku svi korisnici koji se prvi put upoznavaju sa ovim razvojnim alatom i pretražuju online uputstva.
Kako se zaštititi?
- Izbegavajte klik na linkove iz nenverenih izvora - odite direktno na zvanični sajt Anthropica (claude.ai) unošenjem URL-a u adresnu traku
- Nikada ne kopira i ne izvršavajte komande sa stranica koje izgleda kao da su iz izvornih proizvođača, sem ako niste potpuno sigurni u njihov izvor
- Blokira pristup domenama koje se završavaju sa *.oakenfjrod.ru na nivou mrežne zaštite
- Pratite aktivnost mshta.exe procesa - zabrinite se ako ovaj proces uspostavi konekcije ka nepoznatim serverima
- Čuvajte sačuvane kredencijale u pretraživačima jako ili, još bolje, koristite napredne menadžere lozinki sa enkripcijom
- Redovno ažurirajte operativni sistem i bezbednosni softver
Tehnički detalji
Napad počinje sa lažnom mshta.exe komandom koja preuzima 6,7 MB MP3/HTA polimorfnu datoteku sa download.version-516.com/claude. Datoteka sadrži validne audio tagove kako bi izbegla inspekciju tipa fajla, ali je u njoj skrivena HTA skripta. Opterećenje uključuje AMSI bypass tehniku koja onemogućava ugrađeni Windows skener skripti, kao i izbor 32-bitne verzije PowerShell-a umesto 64-bitne jer EDR sistemi obično monitoring samo 64-bitnu verziju. Treća faza preuzima 17 MB skriptu sa oakenfjrod.ru koja sadrži reflektivni .NET infostealer. Ovaj malver pristupa skladištu kredencijala u pretraživačima i šalje podatke na C2 server na adresi 185.177.239.255:443 koja je locirana na ruskoj infrastrukturi. Ceo napad se izvršava u memoriji računara, bez kreiranja datoteka na hard disku.
Preporuka Sajber Radara
Korisnici moraju biti kritični prema svim linkovima koji navodno potekle od poznatih proizvođača softvera. Preporuka je da se uvek ide direktno na zvanične sajtove i izbegavaju relevantne pretrage, kao i da se redovno nadgledaju aktivnosti procesa koji pristupaju mrežnim resursima. Organizacije trebalo bi da blokira pristup poznatim malicioznim domenama na nivou firewall-a.
