Cyberkriminelle nutzen eine neue Social-Engineering-Variante namens InstallFix, um Entwickler über gefälschte Installationsseiten beliebter CLI-Tools dazu zu bringen, Malware auszuführen. Der Infostealer Amatera wird dabei über manipulierte Installationsbefehle verbreitet.
Eine neue Welle von Cyberattacken zeigt, wie Bedrohungsakteure die ClickFix-Technik weiterentwickelt haben. Unter dem Namen InstallFix nutzen sie nun gefälschte Installationsseiten für populäre Kommandozeilen-Tools, um Nutzer zum Ausführen bösartiger Befehle zu verleiten.
Die Sicherheitsforscher von Push Security haben eine besonders raffinierte Kampagne dokumentiert, die sich auf Claude Code, Anthropics CLI-Codierassistenten, konzentriert. Die Angreifer betreiben exakte Klone der offiziellen Installationsseite – mit identischem Design, Logo und Dokumentation. Der entscheidende Unterschied liegt in den manipulierten Installationsanweisungen für macOS und Windows, die Malware von Servern unter der Kontrolle der Angreifer herunterladen.
Besonders tückisch: Alle anderen Links auf der gefälschten Seite führen zur legitimen Anthropic-Website. Nutzer, die die falschen Installationsbefehle befolgen, bemerken möglicherweise gar nicht, dass etwas schief gelaufen ist.
Die Verbreitung dieser Seiten erfolgt über Malvertising-Kampagnen in Google Ads. BleepingComputer konnte bestätigen, dass die bösartigen Websites noch immer als erste Suchergebnisse bei Anfragen wie “install claude code” auftauchen. Eine dieser Seiten wird über Squarespace gehostet und präsentiert sich als perfekte Kopie der offiziellen Dokumentation.
Die eingebauten Befehle sind mehrschichtig aufgebaut: Sie laden verschlüsselte Instruktionen herunter, starten mshta.exe zur Datenübertragung und nutzen conhost.exe zur Ausführung des finalen Payloads – dem Infostealer Amatera.
Amatera ist eine relativ neue Malware-Familie, die auf ACR Stealer basiert und als Malware-as-a-Service (MaaS) an Cyberkriminelle verkauft wird. Das Schadprogramm stiehlt Passwörter, Cookies und Session-Tokens aus Browsern, sammelt Systeminformationen und umgeht aktiv Sicherheitstools.
Besonders perfide ist die Infrastruktur: Die Angreifer hosten ihre bösartigen Seiten auf legitimen Plattformen wie Cloudflare Pages, Squarespace und Tencent EdgeOne – was Erkennungsmechanismen zusätzlich erschwert.
Sicherheitsexperten empfehlen Nutzern: Installationsanweisungen ausschließlich von offiziellen Websites beziehen, beworbene Google-Suchergebnisse ignorieren und wichtige Download-Portale bookmarken. Angesichts der wachsenden Zahl von Nicht-Technikern, die mit Entwickler-Tools arbeiten, könnte InstallFix zu einer zunehmend gefährlicheren Bedrohung werden.
Quelle: BleepingComputer