Ataques InstallFix distribuem malware via guias CLI

Investigadores da Push Security identificaram uma nova técnica de engenharia social denominada InstallFix, utilizada para distribuir malware através de páginas falsas de instalação de ferramentas de linha de comandos (CLI).

A técnica é uma variação do método ClickFix e procura convencer utilizadores a executar comandos maliciosos sob o pretexto de instalar ferramentas legítimas. Os ataques exploram uma prática comum entre programadores, nomeadamente a cópia e a execução direta de comandos do tipo curl-to-bash a partir de páginas online.

Segundo a Push Security, os atacantes criam páginas clonadas de ferramentas populares que apresentam instruções de instalação aparentemente legítimas. No entanto, os comandos disponibilizados descarregam e executam malware a partir de servidores controlados pelos atacantes.

Num dos exemplos analisados, os investigadores identificaram uma página falsa de instalação do Claude Code, assistente de programação em CLI desenvolvido pela Anthropic. A página replica o design, a marca e a estrutura da documentação oficial.

A principal diferença encontra-se nas instruções de instalação para macOS e Windows, que incluem comandos manipulados para descarregar código malicioso. Todos os restantes links da página redirecionam para o site oficial da Anthropic, o que dificulta a deteção da fraude pelos utilizadores.

De acordo com o relatório, esta estratégia permite que a vítima siga aparentemente o processo normal de instalação sem perceber que executou um comando comprometido.

Os investigadores indicam que as páginas maliciosas estão a ser promovidas através de campanhas de malvertising no Google Ads. Os anúncios surgem nos resultados de pesquisa para termos como “Claude Code install” ou “Claude Code CLI”.

Em testes realizados pelo site BleepingComputer, foi possível confirmar que alguns desses resultados patrocinados continuam ativos.

O malware distribuído nestas campanhas foi identificado como Amatera Stealer, um infostealer concebido para recolher dados sensíveis de sistemas comprometidos, incluindo credenciais, cookies de sessão e carteiras de criptomoedas.

Nos sistemas macOS, os comandos maliciosos contêm instruções codificadas em base64 que descarregam e executam um binário a partir de um domínio controlado pelo atacante.

No Windows, o ataque recorre a um utilitário legítimo para descarregar o payload e iniciar processos adicionais, como conhost.exe, que facilitam a execução final do malware.

Segundo os investigadores, o Amatera é uma família de malware relativamente recente e poderá basear-se no ACR Stealer, disponibilizado a cibercriminosos através de um modelo Malware-as-a-Service.

A ameaça já foi associada a outras campanhas ClickFix e é capaz de recolher palavras-passe, cookies, tokens de sessão e informação do sistema, procurando ao mesmo tempo evitar deteção por ferramentas de segurança.

Outro fator que aumenta a eficácia da campanha é o alojamento das páginas maliciosas em plataformas legítimas, como Cloudflare Pages, Squarespace e Tencent EdgeOne, o que dificulta a identificação e bloqueio das infraestruturas.

A Push Security recomenda que os utilizadores obtenham instruções de instalação apenas em sites oficiais, evitem clicar em resultados patrocinados nos motores de pesquisa e utilizem marcadores para aceder a páginas de download de software utilizadas com frequência.