Underc0de - La Casa de los Informáticos

Los ciberdelincuentes continúan perfeccionando sus tácticas de ingeniería social para comprometer sistemas y robar información sensible. En esta ocasión, investigadores de seguridad han identificado una nueva variante de la técnica conocida como ClickFix, denominada InstallFix, que engaña a los usuarios para que ejecuten comandos maliciosos en la terminal bajo la apariencia de instalar herramientas legítimas de línea de comandos (CLI).

Este método aprovecha una práctica muy común entre desarrolladores y usuarios técnicos: copiar y ejecutar comandos de instalación directamente desde Internet, especialmente los conocidos scripts "curl-to-bash", sin revisar previamente el código o la procedencia del recurso.

La investigación fue realizada por la empresa de ciberseguridad Push Security, especializada en detección y respuesta a amenazas en navegadores. Según su análisis, los atacantes están utilizando páginas clonadas de herramientas CLI populares para distribuir comandos de instalación manipulados que descargan malware.

Cómo funciona la técnica InstallFix

La técnica InstallFix se basa en un principio simple pero extremadamente efectivo: hacer que la víctima ejecute voluntariamente un comando malicioso creyendo que está instalando software legítimo.

El proceso del ataque suele desarrollarse en varias fases:

Creación de páginas web clonadas
Los atacantes replican fielmente las páginas oficiales de herramientas CLI populares, incluyendo diseño, logotipos y documentación técnica.

Inserción de comandos de instalación maliciosos
Las instrucciones para instalar el software contienen scripts modificados que descargan malware desde servidores controlados por los atacantes.

Distribución mediante anuncios maliciosos
Las páginas fraudulentas se promocionan a través de campañas de malvertising en motores de búsqueda.[/li][/list]

Ejecución del comando por parte de la víctima
El usuario copia el comando de instalación y lo ejecuta en su terminal, lo que inicia la descarga e instalación del malware.

El problema se agrava porque el modelo de seguridad actual en muchos entornos técnicos se basa simplemente en confiar en el dominio del sitio web, lo que deja abierta la puerta a ataques basados en clonación de páginas.

Páginas falsas de Claude Code utilizadas en la campaña

En su investigación, Push Security identificó una página de instalación clonada de Claude Code, el asistente de codificación basado en línea de comandos desarrollado por Anthropic.

La página fraudulenta replicaba casi perfectamente el sitio legítimo:

Diseño y marca idénticos

• Documentación técnica copiada
• Enlaces que redirigían al sitio oficial

La única diferencia crítica se encontraba en las instrucciones de instalación para macOS y Windows, que incluían comandos manipulados para descargar malware desde servidores controlados por los atacantes.

Esto hace que el ataque sea especialmente peligroso, ya que todo el resto de la navegación parece legítima, lo que reduce las sospechas de la víctima.

Según los investigadores, un usuario que siga las instrucciones falsas podría continuar utilizando el sitio sin darse cuenta de que su sistema ya ha sido comprometido.

Malvertising en Google Ads para atraer víctimas

Los ciberdelincuentes promocionaron estas páginas fraudulentas mediante campañas de anuncios maliciosos en Google Ads, lo que permitió que aparecieran en los primeros resultados de búsqueda.

Consultas como:

• "Claude Code install"
• "Claude Code CLI"

mostraban anuncios patrocinados que redirigían a sitios falsos.

Investigadores de seguridad confirmaron que algunos de estos sitios maliciosos seguían activos y promocionándose en los resultados patrocinados de Google.

Uno de los dominios identificados alojaba el clon de la documentación oficial en una página hospedada en Squarespace, lo que hacía que el sitio pareciera aún más confiable para los usuarios.

Amatera Stealer: el malware distribuido en el ataque

El objetivo final de estas campañas es infectar los sistemas con Amatera Stealer, un malware diseñado para robar información sensible de los dispositivos comprometidos.

Entre los datos que puede robar se encuentran:

• Credenciales de inicio de sesión
• Cookies de autenticación
• Tokens de sesión
• Datos almacenados en navegadores
• Información del sistema
• Carteras de criptomonedas

Amatera es considerado un malware relativamente nuevo y se cree que está basado en ACR Stealer, una herramienta comercializada en el modelo Malware-as-a-Service (MaaS) dentro de comunidades de cibercrimen.

Métodos de infección en macOS y Windows

Los investigadores observaron diferentes métodos de infección dependiendo del sistema operativo de la víctima.

Ataques en macOS

Los comandos maliciosos incluían scripts codificados en Base64 que descargaban y ejecutaban un binario desde un dominio controlado por el atacante.

En uno de los casos analizados se utilizó el dominio wriconsult[.]com, que posteriormente fue desactivado.

Ataques en Windows

En sistemas Windows el comando malicioso utilizaba la herramienta legítima mshta.exe para recuperar la carga maliciosa.

El proceso también activaba otros componentes del sistema como:

conhost.exe

Estos procesos permitían ejecutar la carga final del malware Amatera Stealer sin levantar sospechas en muchas herramientas de seguridad.

Infraestructura difícil de bloquear

Uno de los aspectos más preocupantes de esta campaña es la infraestructura utilizada por los atacantes.

Las páginas maliciosas estaban alojadas en plataformas legítimas como:

• Cloudflare (Cloudflare Pages)
• Squarespace
• Tencent (Tencent EdgeOne)

El uso de servicios legítimos hace que los sitios fraudulentos sean más difíciles de detectar y bloquear, ya que se encuentran dentro de infraestructuras ampliamente utilizadas por empresas y desarrolladores.

Campañas similares con GitHub y Bing

Los investigadores también identificaron una campaña reciente en la que los atacantes utilizaron la técnica InstallFix para distribuir instaladores falsos de OpenClaw alojados en repositorios de GitHub.

Estos repositorios maliciosos fueron promocionados a través de resultados de búsqueda generados por inteligencia artificial en el motor de búsqueda de Microsoft, lo que demuestra cómo los ciberdelincuentes están adaptando sus tácticas para aprovechar nuevas tecnologías.

Cómo protegerse de ataques InstallFix

Los expertos en ciberseguridad recomiendan adoptar varias medidas preventivas para evitar este tipo de ataques:

1. Verificar siempre la fuente de instalación
Descargar herramientas únicamente desde sitios oficiales.

2. Evitar copiar comandos sin revisarlos
Especialmente scripts que utilizan curl, wget o bash.

3. Ignorar resultados patrocinados en búsquedas
Muchos ataques comienzan desde anuncios maliciosos.

4. Guardar enlaces oficiales
Marcar como favoritos las páginas legítimas de descarga de software.

5. Revisar indicadores de compromiso (IOC)
Las empresas de seguridad suelen publicar dominios y hashes asociados a campañas activas.

Una amenaza creciente para usuarios y desarrolladores

El auge de herramientas CLI y plataformas de desarrollo ha ampliado la superficie de ataque para los ciberdelincuentes. La técnica InstallFix demuestra cómo los atacantes pueden aprovechar hábitos comunes de los desarrolladores para ejecutar malware con privilegios elevados.

A medida que más usuarios no técnicos comienzan a utilizar herramientas de línea de comandos, este tipo de ataques podría convertirse en una amenaza significativa para organizaciones, desarrolladores y entornos DevOps.

Por ello, los expertos recomiendan reforzar la educación en seguridad y las prácticas de verificación de código, especialmente cuando se ejecutan scripts descargados directamente desde Internet.

Fuente: https://www.bleepingcomputer.com/