InstallFix: variante ClickFix che sfrutta Claude Code
Topic
Approfondimenti
Trending
tutti

InstallFix: variante ClickFix che sfrutta Claude Code

InstallFix sfrutta la popolarità di Claude Code per convincere gli utenti ad eseguire i comandi di installazione di Amatera presenti su un sito fake,
InstallFix: variante ClickFix che sfrutta Claude Code
Sicurezza Business AI
InstallFix sfrutta la popolarità di Claude Code per convincere gli utenti ad eseguire i comandi di installazione di Amatera presenti su un sito fake,
Bleeping Computer

Gli attacchi ClickFix sono molto frequenti, in quanto i cybercriminali devono solo convincere gli utenti ad eseguire alcune istruzioni. I ricercatori di Push Security hanno individuato una nuova variante, denominata InstallFix, che sfrutta la popolarità di Claude Code, l’assistente AI per la scrittura di codice sviluppato da Anthropic.

Sito fake di Claude Code per distribuire malware

La tecnica usata per ingannare gli utenti è il tradizionale malvertising. Quando viene inserita la query “install claude code” o simili, Google mostra in prima posizione un link sponsorizzato che punta al sito fasullo di Claude Code dedicato agli sviluppatori. Il sito legittimo è quello in seconda posizione, come si può vedere nello screenshot.

Sito fake Claude Code

Leggendo il dominio si intuisce subito l’inganno. Gli utenti più distratti cliccano invece sul link e vedono un sito praticamente identico a quello di Anthropic (layout, tipo di carattere, barra laterale e altro). La differenza è rappresentata dalla procedura di installazione di Claude Code.

Invece che all’URL claude.ai, i comandi puntano al server controllato dai cybercriminali. Tutti gli altri link presenti sul sito fake portano invece al sito legittimo, quindi l’ignara vittima non si accorge di nulla. Eseguendo i comandi indicati viene scaricato Amatera Stealer.

Si tratta di un infostealer piuttosto recente (le prime tracce risalgono al 2025), derivato da ACR Stealer e venduto in abbonamento. Come altri simili malware può rubare password, cookie e token di sessione dal browser, raccogliere diverse informazioni sul computer e accedere ai wallet di criptovalute.

Amatera sfrutta varie tecniche per evitare la rilevazione. Per la comunicazione con il server C2 (command and control) vengono usati servizi CDN legittimi. Il sito fasullo di Claude Code è ospitato su Cloudflare Pages, Squarespace e Tencent EdgeOne, quindi il traffico web proviene da fonti affidabili.

Gli utenti devono verificare attentamente l’URL dei siti (meglio aggiungere quello ufficiale ai segnalibri). Per non vedere i link sponsorizzati potrebbe essere utilizzato un ad blocker.

Fonte: Bleeping Computer

Pubblicato il 7 mar 2026

Link copiato negli appunti

Ti potrebbe interessare

Costa appena 1,11 euro al mese: privacy assicurata con PrivadoVPN

Costa appena 1,11 euro al mese: privacy assicurata con PrivadoVPN
OpenAI Codex Security: agente AI che trova bug software

OpenAI Codex Security: agente AI che trova bug software
Occhiali Ray-Ban Meta, 6 cose da fare per proteggere la privacy

Occhiali Ray-Ban Meta, 6 cose da fare per proteggere la privacy
Claude Opus 4.6 trova 112 bug in Mozilla Firefox

Claude Opus 4.6 trova 112 bug in Mozilla Firefox
Costa appena 1,11 euro al mese: privacy assicurata con PrivadoVPN

Costa appena 1,11 euro al mese: privacy assicurata con PrivadoVPN
OpenAI Codex Security: agente AI che trova bug software

OpenAI Codex Security: agente AI che trova bug software
Occhiali Ray-Ban Meta, 6 cose da fare per proteggere la privacy

Occhiali Ray-Ban Meta, 6 cose da fare per proteggere la privacy
Claude Opus 4.6 trova 112 bug in Mozilla Firefox

Claude Opus 4.6 trova 112 bug in Mozilla Firefox
Luca Colantuoni
Pubblicato il
7 mar 2026
Link copiato negli appunti