Sites falsos da Anthropic distribuem infostealer furtivo contra usuários do Claude Code
Aprofundamento CEVIU
Aprofundamento
O ataque contra usuários do Claude Code não é um desvio isolado, mas o ponto mais recente de uma cadeia de exploração sistemática da marca Anthropic, e do próprio conceito de 'instalador de IA', por criminosos que apostam na urgência e na falta de escrutínio técnico dos usuários. A Cyderes identificou um infostealer fileless que se disfarça como um MP3, mas na verdade é um script HTA poliglota executado via mshta.exe, um binário legado do Windows que ainda funciona sem aviso em todas as versões atuais. Esse vetor foi escolhido com propósito: ele evita detecção em sandboxes (por causa do tamanho ofuscado de 17 MB), contorna AMSI com técnicas conhecidas desde 2024, e injeta código .NET diretamente na memória de um processo PowerShell de 32 bits, uma manobra deliberada para escapar de EDRs que priorizam monitoramento de processos de 64 bits.
A infraestrutura C2 está hospedada em domínios russos (*.oakenfjrod[.]ru) e IP 185.177.239.255:443, alinhando-se a padrões observados pelo NCSC UK em abril de 2026 sobre grupos pró-Rússia que exploram credenciais roubadas via DNS hijacking e reutilização de senhas. Diferentemente de campanhas anteriores que usavam apenas typosquatting (como claudecode.co.com), essa nova onda incorpora SEO poisoning + ClickFix + arquivo poliglota, indicando uma evolução operacional, não só no vetor, mas na engenharia social: ela mira explicitamente iniciantes (professores, pequenos empresários) que não têm EDR corporativo nem hábito de validar hashes ou assinaturas digitais.
O que mudou
Na cobertura anterior de 25 de maio, a EclecticIQ já havia mapeado o uso de SEO poisoning para 'claude code install', mas com instaladores typosquatted estáticos, arquivos .exe maliciosos baixados diretamente. Agora, a Cyderes mostra que os atacantes migraram para um fluxo totalmente fileless: nenhuma instalação real, nenhum arquivo persistente no disco. O comando mshta.exe carrega o payload em tempo real, o PowerShell 32 bits executa em memória, e o infostealer nunca toca o sistema de arquivos. Isso representa uma mudança tática concreta: de distribuição baseada em enganar o download para distribuição baseada em enganar a execução. Também é a primeira vez que o CEVIU registra o uso combinado de poliglotismo (MP3/HTA) + bypass de AMSI + injeção direta de .NET em memória contra o ecossistema Claude Code, algo que não aparecia nas campanhas anteriores de Gemini CLI ou LLMShare.
Por que isso importa
Esse ataque expõe uma falha crítica na cadeia de confiança em torno de ferramentas de IA: não é mais preciso comprometer a infraestrutura da Anthropic, basta clonar sua identidade visual, explorar a busca orgânica e usar binários legítimos do Windows como armas. O mshta.exe está ativo há 25 anos e será desabilitado só em 2027; até lá, continua sendo um LOLBIN altamente eficaz. Para empresas, isso significa que políticas de segurança que bloqueiam apenas downloads de .exe ou .msi são insuficientes. É preciso monitorar comportamentos anômalos de processos nativos (mshta, powershell, certutil), conexões inesperadas de scripts e execuções em memória sem escrita no disco. Para desenvolvedores, o risco vai além do navegador: o infostealer pode roubar tokens de API, cookies de sessão do GitHub e credenciais de CI/CD armazenadas no gerenciador de senhas do sistema.
Linha do tempo
EclecticIQ identifica campanha de SEO poisoning com instaladores typosquatted do Claude Code e Gemini CLI
Descoberta da exploração da CVE-2026-35616 no FortiClient EMS para distribuir malware
Socket rastreia campanha TrapDoor com 34 pacotes maliciosos em npm, PyPI e Crates.io voltados a devs
Cyderes descobre nova campanha ClickFix com arquivo poliglota MP3/HTA contra usuários do Claude Code
Perguntas frequentes
Por que usar mshta.exe em vez de um script PowerShell direto?
O mshta.exe é um Living-off-the-Land binary (LOLBIN) que não gera alertas em muitos EDRs e é frequentemente excluído de políticas de restrição de scripts. Ele também permite a execução de HTA, um formato que suporta HTML, JavaScript e VBScript em um único arquivo, facilitando ofuscação e poliglotismo. Scripts PowerShell puros são mais fáceis de bloquear com políticas de execução (ExecutionPolicy) ou AMSI.
O que torna esse infostealer 'fileless' e por que isso dificulta a detecção?
Ele nunca grava o payload no disco: o arquivo MP3/HTA é carregado e interpretado em memória, o PowerShell é iniciado em modo 32 bits, e o infostealer .NET é injetado diretamente em seu espaço de endereçamento. Sem arquivos escritos, ferramentas baseadas em hash ou análise estática de binários falham. Só detecção comportamental (EDR) ou sandboxing avançado consegue identificar a cadeia.
Qual é a ligação entre esse ataque e as interrupções do Claude Code em 1º, 3/6/2026?
As interrupções relatadas pela Anthropic coincidem temporalmente com o pico dessa campanha, mas não há evidência técnica de relação causal. As falhas foram atribuídas a erros elevados nos modelos, não a comprometimento da infraestrutura. No entanto, os atacantes aproveitaram o caos: usuários frustrados buscando 'soluções alternativas' ou 'instaladores offline' tornaram-se alvos mais suscetíveis ao SEO poisoning.
O que acontece se um usuário executar o comando mshta.exe mesmo em um ambiente com EDR?
Depende do EDR. Muitos ainda não monitoram mshta.exe por padrão, ou não correlacionam sua execução com subprocessos PowerShell ou conexões de rede subsequentes. O ataque foi projetado para passar exatamente nesses gaps: o PowerShell 32 bits é iniciado silenciosamente, o AMSI é bypassado antes da análise, e a exfiltração ocorre em HTTPS para um domínio russo que pode não estar na lista negra atualizada.
Fontes
- hackread.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 01 de junho de 2026
- Editoria
- CEVIU Segurança da Informação
