Bitdefender pubblica oggi una nuova ricerca che lancia un avvertimento su una campagna di malvertising attiva su Google, che prende di mira programmatori e sviluppatori che cercano download relativi a Claude Code, l’avanzato strumento di codifica alimentato dall’IA di Anthropic.
I ricercatori di Bitdefender hanno individuato un annuncio sponsorizzato nei risultati di ricerca di Google che, impersonando Claude Code, reindirizzava gli utenti verso una pagina di documentazione fasulla ospitata su un sottodominio di Squarespace. Qui le vittime vengono indotte a eseguire comandi nello stile ClickFix, che portano all’installazione di malware su sistemi Windows e macOS.
Principali risultati della ricerca:
– Un annuncio dannoso su Google impersona Claude Code e compare tra i primi risultati sponsorizzati quando si effettua una ricerca.
– La pagina di destinazione fraudolenta replicav la documentazione ufficiale di Claude Code ed era ospitata su un sottodominio di Squarespace.
– L’attacco sfrutta tecniche di social engineering in stile ClickFix, inducendo gli utenti a eseguire comandi che portano all’installazione di malware.
– La catena di infezione su Windows sfrutta exe per recuperare ed eseguire i payload dannosi.
– I rilevamenti di Bitdefender includono Stealer.GJ, Trojan.Stealer.GK e rilevamenti MSIL-stage (IL:Trojan.MSILZilla.245316, Gen:Variant.Barys.509034).
– La catena di infezione su macOS utilizza comandi shell offuscati per scaricare una backdoor Mach-O in grado di avviare shell remote (/bin/bash o /bin/zsh).
– Secondo Bitdefender, è probabile che i criminali informatici abbiano utilizzato un account pubblicitario compromesso, collegato a un’azienda reale con sede in Malesia.
Questa campagna evidenzia un rischio crescente per gli utenti che si fidano dei risultati di ricerca sponsorizzati quando cercano strumenti molto diffusi. L’attacco non sfrutta vulnerabilità del software: fa leva sulla fiducia degli utenti e sull’illusione di legittimità creata da annunci a pagamento e pagine di documentazione contraffatte ma graficamente identiche a quelle ufficiali.
