Les attaques de type ClickFix se multiplient, car les cybercriminels n’ont qu’à persuader les utilisateurs d’exécuter certaines instructions. Les chercheurs de Push Security ont découvert une nouvelle variante appelée InstallFix, exploitant la popularité de Claude Code, l’assistant d’intelligence artificielle développé par Anthropic pour la rédaction de code.
Site frauduleux de Claude Code pour propager des logiciels malveillants
La méthode utilisée pour tromper les utilisateurs est le traditionnel malvertising. Lorsqu’on recherche “install claude code” ou des termes similaires, Google affiche en première position un lien sponsorisé pointant vers le site frauduleux de Claude Code destiné aux développeurs. Le site légitime apparaît en seconde position, comme l’illustre l’image ci-dessous.
En examinant le domaine, l’escroquerie devient vite évidente. Les utilisateurs distraits cliquent néanmoins sur le lien et découvrent un site pratiquement identique à celui d’Anthropic (disposition, police, barre latérale, etc.). La différence réside dans la procédure d’installation de Claude Code.
Plutôt que de rediriger vers l’URL claude.ai, les commandes dirigent vers un serveur contrôlé par des cybercriminels. Tous les autres liens sur le site frauduleux mènent vers le site légitime, rendant difficile pour la victime de se rendre compte de la supercherie. En exécutant les commandes fournies, le Amatera Stealer est téléchargé.
Ce logiciel malveillant relativement récent (les premières traces remontent à 2025), dérivé de ACR Stealer, est proposé par abonnement. À l’instar d’autres malwares, il peut voler des mots de passe, des cookies et des jetons de session depuis le navigateur, collecter des informations sur l’ordinateur et accéder aux portefeuilles de cryptomonnaies.
Amatera emploie diverses techniques pour éviter d’être détecté. Pour communiquer avec le serveur C2 (command and control), il utilise des services CDN légitimes. Le site frauduleux de Claude Code est hébergé sur Cloudflare Pages, Squarespace et Tencent EdgeOne, assurant ainsi que le trafic provient de sources fiables.
Les utilisateurs doivent vérifier attentivement l’URL des sites (il est conseillé d’ajouter le lien officiel aux favoris). Pour éviter les liens sponsorisés, l’utilisation d’un bloqueur de publicités peut être envisagée.
Points à retenir
- Les attaques de type ClickFix ciblent la crédulité des utilisateurs en utilisant des techniques de malvertising.
- Les utilisateurs doivent être vigilants face aux sites imitant des services légitimes comme Claude Code.
- Amatera Stealer, un logiciel malveillant, peut compromettre la sécurité des informations personnelles des utilisateurs.
- Il est recommandé de vérifier l’URL des sites et d’utiliser des bloqueurs de publicités pour éviter de telles fraudes.
En tant qu’utilisateur assidu d’outils technologiques, je m’interroge sur l’évolution des cybermenaces. Parfois, des outils puissants comme les assistants d’IA peuvent être détournés à des fins malveillantes. Cela nous rappelle l’importance de la vigilance et de l’éducation numérique. Quelles mesures devrions-nous prendre collectivement pour faire face à de telles menaces dans notre utilisation quotidienne de la technologie ?