Lažni Claude AI sajtovi preko Google oglasa šire malver

Vesti, 08.05.2026, 12:30 PM

Istraživači iz kompanije Trend Micro otkrili su novu kampanju pod nazivom “InstallFix”, u kojoj napadači koriste lažne sajtove za instalaciju Anthropic Claude AI alata kako bi naveli korisnike da sami pokrenu malver na svojim uređajima.

Napadači koriste Google oglase kako bi lažne stranice prikazali na vrhu rezultata pretrage za pojmove poput “Claude Code” ili “Claude Code install”. Sajtovi izgledaju uverljivo, prikazujući detaljna uputstva za instalaciju prilagođena Windows i macOS sistemima.

Za razliku od klasičnih napada koji ciljaju softverske ranjivosti, ova kampanja se oslanja na poverenje korisnika u AI alate i njihovu spremnost da bez razmišljanja kopiraju i pokreću komande prikazane na ekranu.

Nakon pokretanja komande, infekcija se odvija u više faza. Malver prikuplja informacije o sistemu, uspostavlja postojanost kroz zakazane zadatke i povezuje se sa serverima napadača radi preuzimanja daljih uputstava. Analiza pokazuje sličnosti sa tehnikama i infrastrukturom povezanim sa RedLine Stealer kampanjama iz prethodnih godina.

Na Windows sistemima napad koristi legitimni alat mshta.exe za pokretanje udaljenih payload-a, a preuzeti fajl „claude.msixbundle“ izgleda kao regularan Microsoft paket sa validnim potpisima, što mu pomaže da prođe osnovne bezbednosne provere.

Istraživači upozoravaju da su mete napada i „tehnički i netehnički korisnici“, jer su lažni stranice pažljivo dizajnirane da izgledaju kao legitimna dokumentacija za instalaciju AI alata.

Kampanja je registrovana u više zemalja, a pogođene su organizacije iz državnog, obrazovnog i privatnog sektora.

Stručnjaci preporučuju izbegavanje pokretanja komandi sa sajtova do kojih se dolazi preko sponzorisanih rezultata pretrage, proveru zvaničnih izvora za preuzimanje softvera i korišćenje pouzdanih alata za instalaciju softvera umesto ručnog pokretanja skripti sa nepoznatih sajtova.