InstallFix: Como atacantes estão transformando guias de instalação malvertidas em armas

Atacantes estão clonando páginas de instalação de ferramentas populares para desenvolvedores, como o Claude Code, e usando o Google Ads para posicionar esses sites falsificados acima dos resultados legítimos. Isso leva usuários a executar comandos maliciosos "curl | shell" de uma linha que baixam o Amatera Stealer e outras cargas maliciosas de infraestrutura controlada pelos atacantes. A campanha abusa de serviços de hospedagem legítimos e rotaciona domínios rapidamente para evadir a detecção, enquanto redirecionamentos para os sites reais diminuem a suspeita das vítimas. ️ Para os defensores, é crucial reduzir a confiança cega em comandos de instalação, reforçar os controles sobre o tráfego gerado por malvertising e detectar em tempo real sinais baseados no navegador, como domínios semelhantes, comandos shell copiados para a área de transferência e cadeias de execução de scripts suspeitas.