Pratite nas preko RSS-aLažni Gemini CLI i Claude Code sajtovi šire infostealer malvere
Vesti, 26.05.2026, 11:30 AM
Istraživači kompanije EclecticIQ otkrili su novu kampanju u kojoj napadači koriste lažne sajtove koji se predstavljaju kao Google Gemini CLI i Anthropic Claude Code alati za distribuciju infostealer malvera.
Prvo upozorenje objavio je nezavisni istraživač poznat pod pseudonimom @g0njxa, koji je još u aprilu upozorio na kampanju koja zloupotrebljava Gemini CLI, alat koji programerima omogućava direktnu komunikaciju sa Gemini AI modelima preko terminala.
Istraživači EclecticIQ-a naknadno su analizirali kampanju i otkrili da su napadači počeli sa registracijom domena još početkom marta 2026. godine.
Napadači su koristili SEO poisoning tehnike kako bi lažni sajtovi bili prikazivani iznad legitimnih rezultata pretrage i korisnike preusmeravali na infrastrukturu pod kontrolom napadača.
Maliciozni sajtovi imitiraju zvanične stranice za instalaciju AI alata i prikazuju korisnicima PowerShell komande koje je potrebno kopirati i pokrenuti u terminalu.
U slučaju Gemini CLI kampanje, korisnici su preusmeravani na domen geminicli[.]co[.]com, dok je dodatni payload preuziman sa domena gemini-setup[.]com. Nakon izvršavanja komande, infostealer malver se u memoriji povezuje sa komandno-kontrolnim serverom i počinje krađu podataka.
Slična infrastruktura korišćena je i za lažne Claude Code stranice preko domena claudecode[.]co[.]com i claude-setup[.]com.
Istraživači navode da malver cilja Windows uređaje i da se izvršava potpuno u memoriji, čime otežava detekciju.
Infostealer pokušava da prikupi lozinke, kolačiće sesija, podatke za automatsko popunjavanje formulara i istoriju pretrage iz browsera kao što su Chrome, Edge, Brave i Firefox.
Pored browsera, malver cilja i veliki broj poslovnih i komunikacionih platformi, uključujući Slack, Microsoft Teams, Discord, Mattermost, Zoom, Telegram Desktop, Notion i Zoho Mail Desktop.
Istraživači upozoravaju da pristup kolačićima sesija i lokalnim autentifikacionim ključevima može napadačima omogućiti pristup internim komunikacijama kompanija, fajlovima i povezanim servisima bez potrebe za unosom lozinke.
Malver takođe pokušava krađu VPN konfiguracija, podataka iz kripto novčanika, cloud servisa poput Google Drive-a, OneDrive-a, iCloud Drive-a i MEGA-e, kao i lokalnih korisničkih fajlova i sistemskih informacija.
Jedna od najopasnijih funkcija malvera je mogućnost daljinskog izvršavanja komandi na kompromitovanom uređaju, što napadačima omogućava dodatnu kompromitaciju sistema i instalaciju novog malvera.
Istraživači smatraju da sličnosti između Gemini CLI i Claude Code kampanja ukazuju da iza obe operacije najverovatnije stoji ista grupa napadača.
Izdvojeno
Lažni tutorijali na TikToku i Instagramu šire malver Vidarstealer
Sajber kriminalci sve češće koriste TikTok i Instagram Reels za širenje malvera, oslanjajući se na lažne tutorijale koji korisnicima obećavaju ... Dalje
Više od 400.000 uređaja zaraženo malverom skrivenim u piratskim igrama
Istraživači kompanije Malwarebytes upozoravaju na novu kampanju koja koristi piratske verzije popularnih PC igara za infekciju Windows računara. Pr... Dalje
Apple uvodi AI funkciju koja će automatski menjati kompromitovane lozinke
Apple je na konferenciji WWDC 2026 predstavio novu funkciju zasnovanu na Apple Intelligence tehnologiji koja će moći automatski da zameni slabe ili ... Dalje
Hakeri koriste lažne prijave o kršenju autorskih prava za krađu Google naloga
Istraživači kompanije Malwarebytes upozorili su na novu fišing kampanju koja cilja programere Chrome ekstenzija koristeći lažna obaveštenja o na... Dalje
WordPress malver krije komande u komentarima Steam profila
Istraživači kompanije GoDaddy otkrili su novu WordPress malver kampanju koja koristi Steam Community profile za skrivanje komandi namenjenih komprom... Dalje
Pratite nas
Nagrade
Prijatelji
