MalwareHackerangriffePhishing

InstallFix-Kampagne: Cyberkriminelle verbreiten Malware über gefälschte KI-Tool-Seiten

InstallFix-Kampagne: Cyberkriminelle verbreiten Malware über gefälschte KI-Tool-Seiten
Zusammenfassung

Die „InstallFix"-Kampagne nutzt gefälschte Webseiten beliebter Entwickler-Tools wie Anthropic Claude, um Malware zu verbreiten. Angreifer ersetzen legitime Installationsbefehle durch bösartige Befehle und nutzen Google Ads für Werbung. Betroffene sind Entwickler, die diese Tools installieren. Die Gefahr liegt in der täuschend echten Nachbildung der Seiten und der weiten Verbreitung über verschiedene Plattformen wie GitHub und NPM.

Sicherheitsforscher von Push Security haben eine neue Variante der ClickFix-Angriffskampagne aufgedeckt, die unter dem Namen InstallFix bekannt ist. Dabei bedienen sich Betrüger einer besonders perfiden Methode: Sie erstellen pixelgenaue Kopien von Webseiten populärer Entwickler-Tools und manipulieren die darin enthaltenen Installationsbefehle.

Das Ziel ist klar definiert – Nutzer dazu bringen, Malware statt der legitimen Software zu installieren. Ein besonders prominentes Opfer der Kampagne ist Anthropics Claude Code CLI-Tool. Die Angreifer nutzen hierfür Malvertising-Techniken, speziell über Google Ads, um potenzielle Opfer auf die gefälschten Installationsseiten zu locken.

Was die InstallFix-Kampagne besonders tückisch macht, ist die visuelle Täuschung. “Wer nicht penibel die URLs in den Installationsbefehlen überprüft – und seien wir ehrlich, das tut kaum jemand – kann die betrügerische Seite nicht von der echten unterscheiden”, erklären die Forscher von Push Security.

Bei der Ausführung wird cmd.exe aktiviert, das wiederum mshta.exe startet. Dieses Tool lädt und führt Code von einem fremden Server aus, was letztendlich zu einer Infektion mit dem Amatera Stealer führt – einem gefährlichen Informations-Diebstahl-Programm.

Die Kampagne ist jedoch deutlich breiter angelegt als nur auf Claude Code beschränkt. Die Sicherheitsforscher beobachteten, wie Angreifer legitime Dienste wie Cloudflare Pages, Squarespace und Tencent EdgeOne missbrauchten, um ihre schädlichen Inhalte zu hosten. Parallel dazu wurden malware-infizierte Terminal-Befehle auf Claude.ai selbst hinterlegt, Klone der Homebrew-Website für die Verbreitung des Cuckoo-Stealers genutzt, gefälschte OpenClaw-Installationen in GitHub-Repositories bereitgestellt und böswillige NPM-Pakete mit Claude-Code-ähnlichen Namen veröffentlicht.

“Dies ist kein isoliertes Claude-Problem”, warnen die Experten. “Jedes Tool oder jede Website, die potentiell viele Klicks generiert und leicht kopierbar ist, kann zum Ziel von Malvertising und Identitätsdiebstahl werden.” Die Kampagne zeigt einmal mehr, wie Betrüger gezielt auf die Vertrauenswürdigkeit und Popularität von Entwickler-Werkzeugen setzen, um Sicherheitsmaßnahmen zu umgehen.

Ähnliche Artikel