Pesquisadores da Push Security identificaram uma nova técnica de engenharia social chamada InstallFix, que está sendo utilizada por cibercriminosos para induzir usuários a executar comandos maliciosos sob a falsa promessa de instalação de ferramentas legítimas de interface de linha de comando (CLI). Essa técnica explora a prática comum entre desenvolvedores de baixar e executar scripts de fontes online sem a devida verificação. O ataque utiliza páginas clonadas de ferramentas populares, como o Claude Code, que imitam o layout e a documentação do site oficial, mas fornecem instruções de instalação que entregam malware. O malware identificado é o Amatera Stealer, projetado para roubar dados sensíveis, como credenciais e carteiras de criptomoedas. Os atacantes promovem essas páginas por meio de campanhas de malvertising no Google Ads, levando usuários a clicar em anúncios maliciosos que aparecem nos resultados de busca. A Push Security alerta que, devido à confiança excessiva em domínios, essa técnica pode se tornar uma ameaça significativa, especialmente para usuários não técnicos. Os pesquisadores recomendam que os usuários sempre busquem instruções de instalação em sites oficiais e evitem resultados patrocinados nas buscas do Google.
Fonte: https://www.bleepingcomputer.com/news/security/fake-claude-code-install-guides-push-infostealers-in-installfix-attacks/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
06/03/2026 • Risco: ALTO
MALWARE
Novo golpe de engenharia social ameaça usuários de ferramentas CLI
RESUMO EXECUTIVO
O ataque InstallFix representa uma ameaça significativa para usuários de ferramentas de desenvolvimento, especialmente aqueles que não têm formação técnica. A utilização de páginas clonadas e a promoção através de anúncios maliciosos no Google aumentam o risco de comprometimento de dados sensíveis, exigindo que as empresas implementem medidas de segurança e conscientização para seus usuários.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas financeiras devido ao roubo de dados e comprometimento de sistemas.
Operacional
Roubo de dados sensíveis, como credenciais e informações de criptomoedas.
Setores vulneráveis
['Tecnologia', 'Finanças', 'Educação']
📊 INDICADORES CHAVE
O malware Amatera é uma nova família de malware que pode roubar dados sensíveis.
Indicador
As páginas clonadas estão sendo promovidas através de anúncios no Google.
Contexto BR
O ataque utiliza comandos base64 para executar o malware.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se há acesso a páginas clonadas e comandos maliciosos em sistemas.
2
Implementar bloqueios em anúncios suspeitos e reforçar a educação sobre segurança cibernética.
3
Monitorar continuamente atividades de instalação de software e acessos a sites não verificados.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de dados sensíveis e a crescente sofisticação de ataques de engenharia social.
⚖️ COMPLIANCE
Implicações legais relacionadas à LGPD e proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
