Lunedi 06 Luglio 2026 00:58:20 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Security Awareness & Social Engineering

Impostori di strumenti AI: campagne di malvertising trasformano download affidabili in trappole malware

Pubblicato: 09 Marzo 2026 13:32Categoria: Security Awareness & Social EngineeringAutore: CRYSTALPROXY

Sottotitolo: I cybercriminali stanno clonando i siti web di popolari strumenti di AI e per sviluppatori, sfruttando Google Ads per diffondere malware che ruba informazioni in una sofisticata campagna “InstallFix”.

Tutto inizia con una ricerca. Uno sviluppatore, desideroso di provare l’ultimo strumento di coding basato sull’AI, clicca il primo risultato sponsorizzato su Google. La pagina sembra autentica-identica, persino, al sito ufficiale. Ma sotto la superficie, una singola riga nel comando di installazione è stata sostituita e, con un copia-incolla distratto, ha inizio un silenzioso furto digitale.

Fatti rapidi

  • Gli attori della minaccia stanno clonando siti web di popolari strumenti AI e distribuendo malware tramite Google Ads nella campagna “InstallFix”.
  • I comandi di installazione malevoli su questi siti falsi installano di nascosto malware che ruba informazioni come Amatera Stealer e Cuckoo infostealer.
  • Piattaforme legittime-including Cloudflare Pages, Squarespace e GitHub-vengono abusate per ospitare e distribuire codice malevolo.
  • La campagna non prende di mira solo Claude Code CLI, ma imita anche siti per Homebrew, OpenClaw e pacchetti NPM.
  • Gli attaccanti usano repliche quasi perfette, rendendo quasi impossibile per gli utenti distinguere il vero dal falso senza esaminare attentamente gli URL.

L’anatomia di un download ingannevole

Soprannominata “InstallFix”, questa campagna segna un’evoluzione dei precedenti attacchi ClickFix, secondo Push Security. Lo schema si basa sul malvertising-l’inserimento di annunci malevoli in cima ai risultati di ricerca, dove gli utenti hanno più probabilità di cliccare. Una volta che la vittima approda sul sito clonato, il comando di installazione appare affidabile, ma in realtà conduce a un server controllato dall’attaccante. Da lì si attiva la catena malware: cmd.exe avvia mshta.exe, che poi recupera ed esegue uno script remoto, infettando infine il sistema della vittima con malware che ruba informazioni.

Gli investigatori hanno collegato molteplici siti falsi e binari malware identici a un’unica operazione coordinata. Gli attaccanti non si limitano a un solo strumento; mentre Claude Code CLI di Anthropic è un bersaglio primario, la campagna si è ampliata per impersonare altre risorse per sviluppatori ampiamente utilizzate come Homebrew e OpenClaw. Persino pacchetti NPM e repository pubblici su piattaforme affidabili vengono trasformati in armi.

Ciò che rende questa campagna particolarmente insidiosa è l’uso di servizi di hosting legittimi per confondersi con il traffico normale. Distribuendo i loro payload su piattaforme come Cloudflare Pages o Squarespace, gli attaccanti eludono molti filtri di sicurezza tradizionali e rendono le loro operazioni più difficili da tracciare.

Le scoperte di Push Security sono chiare: la minaccia non è confinata a un solo strumento o marchio. Qualsiasi sito popolare e facilmente clonabile è un potenziale bersaglio. La dipendenza dai risultati di ricerca sponsorizzati come vettore di infezione alza la posta in gioco sia per gli utenti finali sia per le piattaforme che servono questi annunci.

Conclusione

Nella corsa agli armamenti tra cybercriminali e difensori, la campagna InstallFix è un duro promemoria del fatto che la fiducia può essere trasformata in un’arma. Man mano che gli attaccanti diventano più bravi a imitare le proprietà digitali su cui facciamo affidamento, la vigilanza è più cruciale che mai. Per sviluppatori e utenti comuni, anche un’installazione di routine comporta rischi nascosti quando il confine tra reale e falso svanisce con un solo clic.

WIKICROOK

  • Malvertising: Il malvertising è l’uso di annunci online per diffondere malware, spesso ingannando gli utenti e inducendoli a cliccare su link dannosi-anche su siti web affidabili.
  • Infostealer: Un infostealer è un malware progettato per rubare dati sensibili-come password, carte di credito o documenti-da computer infetti senza che l’utente se ne accorga.
  • Interfaccia a riga di comando (CLI): Un’interfaccia a riga di comando (CLI) consente agli utenti di interagire con i sistemi digitando comandi, offrendo flessibilità e controllo, soprattutto nelle operazioni di cybersicurezza.
  • Payload: Un payload è la parte dannosa di un attacco informatico, come un virus o uno spyware, veicolata tramite email o file malevoli quando una vittima interagisce con essi.
  • Risultato di ricerca sponsorizzato: I risultati di ricerca sponsorizzati sono annunci a pagamento sui motori di ricerca, spesso visualizzati sopra i link organici e talvolta usati dagli attaccanti per distribuire malware o siti di phishing.