Lažne stranice za instalaciju Claude AI korišćene za širenje malvera
Hakeri putem plaćenih Google oglasa šalju korisnike na lažne stranice za instalaciju Claude AI koje distribuiraju multi-fazni malver sa mogućnostima prikupljanja podataka.
Šta se desilo?
Hakeri koriste falsifikovane stranice za instalaciju Claude AI, popularne platforme za veštačku inteligenciju, da bi prevarili korisnike da pokrenu malver na svojim računarima. Kampanja poznata kao "InstallFix" koristi plaćene Google oglase kako bi lažne instalacijske stranice pojavile na vrhu rezultata pretrage, čime se iskorišćava prirodno poverenje korisnika prema poznatim alatima i softveru.
Koga pogađa?
Kampanja je zabeležena u Sjedinjenim Američkim Državama, Maleziji, Holandiji i Tajlandu. Napadači su ciljali ustanove iz državne administracije, obrazovanja, elektronske industrije i hrane i pića. Osjetljivi su i programeri koji koriste CLI alate bez razmišljanja preuzimajući komande iz lažnih sajtova, kao i obični korisnici koji prate korake koje izgleda da dolaze od zvaničnih izvora.
Kako se zaštititi?
- Uvek proverite zvaničnu veb stranicu proizvođača pre nego što preuzimate softver - ne klanjajte se lažnim rezultatima iz oglasa
- Koristite zvanične upravljače paketa (npm, pip, brew, winget) umesto manuelnog poklapanja komandi sa nepoznatih izvora
- Izbegavajte poklapanje komandi iz sajtova do kojih ste došli kroz sponzorirane rezultate pretrage
- Ažurirajte i održavajte sve sigurnosne alate i antivirusni softver u aktuelnom stanju
- Blokurajte poznate maliciozne domene na nivou firewall-a i DNS filtriranjem
- Ograničite ili onemogućite legacy alatke poput mshta.exe gde god je moguće
- Obezbedite obuku zaposlenih o prepoznavanju falsifikovanih instalacijskih stranica i socijalnog inženjeringa
Tehnički detalji
Kampanja koristi multi-fazni napadni lanac koji počinje sa Google Ads. Lažna stranica prikazuje OS-specifičnu komandu okvaljenu kao obavezni korak instalacije. Na Windows sistemima, izvršavanje komande pokreće skriveni lanac preko mshta.exe - legitimnog Windows alata koji napadači često zloupotrebljavaju. Preuzeta datoteka "claude.msixbundle" izgleda kao pravi Microsoft paket sa validnim Marketplace potpisima, što joj dozvoljava da prođe osnovne provere bezbednosti. Unutar nje je HTA payload koji tiho izvršava VBScript sa prozorima smanjenima na nula piksela kako bi bilo nevidljivo. Skripte poklapaju obfuscirane PowerShell komande kroz SysWOW64 podsistem, rekonstrukujući reč "powershell" u runtime-u pomoću podeljivih promenljivih. Malver uspostavljuje persistenciju kreiranjem zakazanih poslova, što joj dozvoljava da preživi restartovanje. Prikuplja podacke iz čuvara privatnosti, ciljajući e-wallet aplikacije. Indikatori koji se vežu za ovu kampanju poklapaju se sa tehnikom i infrastrukturom prethodno povezanom sa RedLine Stealer kampanjama iz 2023. godine.
Preporuka Sajber Radara
Preuzimanje softvera samo sa zvaničnih izvora i kroz pouzdane upravljače paketa je jedina sigurna praksa. Organizacije moraju hitno zabraniti maliciozne domene i IP adrese na firewollu i primeniti DNS filtriranje za zaustavljanje pristupa sumnjivim domenama.