Os piratas informáticos estão a utilizar uma nova variante da técnica de engenharia social ClickFix, agora batizada de InstallFix. O objetivo é enganar os utilizadores para que executem comandos maliciosos sob o pretexto de estarem a instalar ferramentas legítimas de linha de comandos. Esta nova tática explora a prática comum de descarregar e executar scripts de fontes online sem uma inspeção prévia rigorosa. Segundo os investigadores da Push Security, o perigo está a aumentar à medida que ferramentas antes exclusivas para programadores chegam às mãos de utilizadores menos técnicos.
O perigo escondido nas cópias perfeitas
Um dos principais alvos identificados nesta nova vaga de ataques é o assistente de programação da Anthropic, o Claude Code. Os criminosos criam páginas de instalação clonadas que replicam na perfeição o design, a marca e a barra de documentação da fonte legítima. A única diferença encontra-se nas instruções de instalação fornecidas para Windows e macOS, que, em vez da ferramenta real, entregam ficheiros infetados a partir de servidores controlados pelos atacantes.
Para tornar o esquema ainda mais credível, todos os outros atalhos presentes na página falsa redirecionam efetivamente para o site oficial. Desta forma, uma vítima que siga as instruções pode continuar a navegar sem se aperceber de que algo correu mal. A promoção destas páginas é feita através de campanhas de publicidade maliciosa na pesquisa da Google, aparecendo no topo dos resultados patrocinados quando alguém procura por termos relacionados com a instalação do assistente.
Amatera: O ladrão silencioso de informação
Os comandos manipulados utilizados no InstallFix contêm instruções codificadas para descarregar e executar um malware furtivo. O processo inicia ferramentas do próprio sistema operativo para recolher o conteúdo perigoso e executar a carga final, o infostealer Amatera, que se acredita ser baseado no ACR Stealer.
Este software malicioso, vendido como um serviço a outros cibercriminosos, tem a capacidade de roubar palavras-passe, cookies e tokens de sessão armazenados nos navegadores web. Além disso, recolhe informações do sistema enquanto consegue evadir a deteção das ferramentas de proteção. Os ataques tornam-se particularmente difíceis de bloquear porque os sites falsos estão muitas vezes alojados em plataformas com reputação sólida, como Cloudflare Pages, Squarespace e Tencent EdgeOne.
Para evitar cair nesta armadilha, é fundamental procurar as instruções de instalação apenas nos domínios oficiais, ignorar ou bloquear os resultados patrocinados nos motores de busca e guardar os endereços seguros nos favoritos para transferências recorrentes.
Nenhum comentário
Seja o primeiro!