СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
9 марта
#ИБ

InstallFix: как малвертайзинг распространяет инфостилер Amatera

Недавний анализ выявил кампанию под названием InstallFix, в которой злоумышленники используют процесс установки легитимных разработческих инструментов — например, *Claude Code* — чтобы распространить вредоносное ПО. Акторы создают почти идентичные клонированные страницы установки, вводят пользователя в заблуждение и побуждают выполнить вредоносные команды, замаскированные под обычные инструкции по установке.

Как работает схема

Схема InstallFix опирается на сочетание нескольких простых, но эффективных приёмов социальной инженерии и технических ухищрений:

  • Создаются клонированные веб‑страницы, имитирующие внешний вид официальных страниц установки популярных инструментов разработчиков.
  • В качестве команды установки злоумышленники подсовывают однострочные скрипты — чаще всего известный паттерн «curl to bash» — рассчитывая на то, что пользователи доверяют источнику и выполняют команды без достаточной проверки.
  • Основной вектор распространения — малвертайзинг, в частности платные объявления (Google Ads), которые приводят пользователей на поддельные страницы по запросам вроде «Claude Code install».
  • Для перенаправления и доставки вредоносного кода используются отдельные домены, которые переводят жертву на сервер, контролируемый злоумышленниками.

«пользователи доверяют источнику и выполняют команды без достаточной проверки»

Что известно о вредоносном ПО — Amatera

Задействованное в рамках InstallFix вредоносное ПО идентифицировано как Amatera — инфостилер, впервые появившийся примерно в 2025 году. Ключевые свойства Amatera:

  • Ориентирован на эксфильтрацию конфиденциальных данных: паролей браузеров, токенов сессий и других секретов.
  • Использует сложные методы уклонения от обнаружения и обхода антивирусных и EDR‑решений.
  • Для связи с командно‑контрольной инфраструктурой применяются обфусцирующие приёмы, в том числе жестко закодированные IP‑адреса, принадлежащие легитимным сетям доставки контента (CDN), что затрудняет детекцию и блокировку.

Сопутствующие кампании и общая тенденция

Помимо InstallFix наблюдаются аналогичные операции, где злоумышленники выдают себя за иное ПО через захваченные веб‑страницы, клонированные сайты или через вредоносный код, встраиваемый в экосистемы вроде npm. Общая картина указывает на устойчивый паттерн: злоумышленники массово используют малвертайзинг для распространения инфостилеров и маскировки под популярные инструменты разработчиков.

Что сейчас делают защитные команды

Стратегии реагирования и обнаружения в рамках борьбы с этой кампанией сосредоточены на проактивном анализе содержимого веб‑страниц, отображаемых в браузерах пользователей, и поиске сигналов, связанных с клонированными сайтами и малвари. Поскольку атаки становятся более сложными и менее зависят от классического фишинга, важна детекция в реальном времени.

Рекомендации по защите

Эксперты по кибербезопасности и ИТ‑администраторы должны учитывать следующую практику защиты:

  • Не выполнять однострочные команды установки (curl to bash и аналогичные) из непроверенных источников.
  • Проверять доменные имена и сертификаты сайта, сравнивать их с официальными ресурсами проекта.
  • Отключать автоматическое выполнение скриптов там, где это возможно, и использовать sandbox/VM для тестирования установок.
  • Обновлять и настраивать EDR/AV решения для выявления нетипичных сетевых связей и необычных попыток эксфильтрации данных.
  • Ограничивать и контролировать использование токенов и секретов в окружениях разработчиков, применять принцип наименьших привилегий.
  • Фильтровать и мониторить платную рекламу (особенно поисковые объявления), которая может вести на подозрительные страницы.
  • Внедрять анализ загруженных страниц в браузере (real‑time page analysis) для выявления признаков клонирования и вредоносного контента.

Вывод

InstallFix демонстрирует, что злоумышленники всё активнее эксплуатируют доверие пользователей к привычным установочным инструкциям и рекламе. Поскольку в группу риска попадают не только технические специалисты, но и менее подготовленные пользователи, необходима повышенная бдительность и проактивные меры обнаружения. Современные стратегии должны фокусироваться на анализе поведения страниц и сетевых связей в реальном времени — только так можно своевременно обнаруживать и блокировать подобные кампании.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: