Un installer contraffatto di Claude Code sfrutta il SEO poisoning per colpire chi si avvicina per la prima volta agli strumenti AI. La catena d'attacco è composta da sei stadi pensati per aggirare ogni controllo di sicurezza.
Autore: Redazione SecurityOpenLab
Chi cerca online come installare Claude Code rischia di collegarsi a una pagina falsa che distribuisce un infostealer progettato per non lasciare quasi nessuna traccia nel sistema. La campagna, scoperta dal team Howler Cell di Cyderes, combina tecniche di SEO poisoning, ingegneria sociale e un'architettura d'attacco a sei stadi che affronta e aggira sistematicamente gli strati difensivi. I canali ufficiali di distribuzione di Claude Code sono integri perché Anthropic non è stata compromessa; gli attaccanti abusano del nome e della reputazione del prodotto.
La logica della campagna di attacco parte dal dato di fatto che Claude Code ha abbassato la soglia d'accesso allo sviluppo software, rendendolo accessibile a persone prive di esperienza tecnica. Un piccolo imprenditore che vuole automatizzare le fatture, un insegnante che costruisce un tool per i voti, un professionista con un'idea originale: tutti hanno per la prima volta accesso a uno strumento alla loro portata per realizzarli, che richiede solo un browser, un motore di ricerca e la convinzione di stare seguendo istruzioni corrette.
Avvelenando i risultati del motore di ricerca, gli attaccanti hanno posizionato fra i primi risultati della query "claude code install" una pagina contraffatta, pressoché identica a quella ufficiale di Anthropic. È appunto la tecnica si chiama SEO poisoning, che consiste nella manipolazione dei parametri che determinano la classifica dei risultati di ricerca con lo scopo di portare un contenuto malevolo dove l’utente si aspetta di trovare quello originale. Non è una novità, ma è particolarmente efficace per un pubblico nuovo che non ha dimestichezza con la procedura di installazione legittima.
Una volta collegato alla pagina falsa, la vittima viene guidata attraverso quelle che sembrano le normali istruzioni per completare l'installazione. A un certo punto le si chiede di aprire la finestra di esecuzione comandi di Windows e di incollare un comando già preparato. Anche qui non c’è nulla di inedito: è l’attuazione della nota tecnica ClickFix che si è diffusa a macchia d’olio nel repertorio dell'ingegneria sociale. Chi non ha familiarità con gli strumenti da riga di comando non sa distinguere un comando malevolo da uno legittimo, quindi incolla, preme Invio e prosegue con l’installazione.
Quello che accade in background è che il sistema operativo esegue un componente di Windows progettato per gestire file di tipo applicativo, che contatta un dominio controllato dagli attaccanti e scarica il primo payload: un file che sembra un MP3 di 6,7 megabyte, completo di struttura audio valida. Se qualcuno lo apre con un lettore musicale, riproduce audio reale. Peccato che quando il componente di sistema incaricato di gestirlo lo legge, vi trova un blocco di codice eseguibile nascosto, che i sistemi di sicurezza non identificano come malevolo perché tecnicamente il file è un audio legittimo.
Questo codice nascosto disabilita in memoria il motore di scansione degli script di Windows, in modo che i componenti malevoli successivi non vengano analizzati in tempo reale. Crittografa alcune stringhe di testo per tenerle fuori dalla portata dell'analisi statica, quindi rileva il nome del computer e il nome utente della vittima, li combina e calcola un'impronta digitale univoca che verrà usata per costruire un indirizzo web personalizzato, diverso per ogni macchina infetta, da cui scaricare il componente successivo. La conseguenza è che gli Indicatori di Compromissione diventano inutili, dato che ogni vittima riceve un URL inedito che non verrà mai riutilizzato. Inoltre, la scelta tecnica di usare la versione a 32 bit del motore di scripting di Windows invece di quella a 64 bit taglia fuori le capacità di detection di molte piattaforme di rilevamento endpoint.
Il componente scaricato tramite l'indirizzo personalizzato supera i 17 megabyte: una dimensione scelta intenzionalmente per mettere in difficoltà gli strumenti automatici di deoffuscamento, che arrancano con payload così grandi, e gli analisti umani, che perdono una notevole quantità di tempo per venirne a capo. Infatti, all'interno del payload ci sono molteplici strati di cifratura sovrapposti che devono essere rimossi nella sequenza corretta prima che emerga la logica reale.
L'ultimo stadio è l'infostealer vero e proprio: un malware che non viene mai salvato su disco, non apre nuovi processi, non genera gli eventi di caricamento di file. Viene caricato direttamente in memoria all'interno del processo già in esecuzione, usando una funzionalità legittima del framework .NET che permette di eseguire codice da una sequenza di byte in memoria. Nessun file. Nessun nuovo processo. Pochissimi artefatti forensi. Una volta attivo, il malware apre una connessione cifrata verso un server di comando e controllo su infrastruttura russa e comincia l'esfiltrazione dei dati. Il comportamento documentato da Howler Cell include l'accesso agli archivi di credenziali dei browser, dove sono conservate le password salvate.
Howler Cell indica alcune opportunità di rilevamento che rimangono valide nonostante la complessa catena evasiva: l'attività di rete originata dal componente di sistema mshta.exe verso infrastrutture esterne è rara in ambienti aziendali legittimi e andrebbe monitorata o bloccata. L'esecuzione della versione a 32 bit del motore di scripting avviata da un'attività pianificata e registrata tramite oggetti COM è un segnale ad alta confidenza. Le query DNS verso il dominio oakenfjrod[.]ru, in qualsiasi sua forma, indicano compromissione.
Inoltre, le piattaforme EDR con visibilità sul caricamento di assembly .NET in memoria possono rilevare il payload finale anche in assenza di file su disco, a differenza dei controlli basati sulla firma dei file.
Howler Cell continua a monitorare l'infrastruttura della campagna e pubblicherà aggiornamenti in caso di rotazione dei domini o evoluzione della catena di upload.