SEO poisoning kampányok
Az EclecticIQ kutatása szerint új, nagyszabású SEO poisoning kampányok jelentek meg, amelyek a Google Gemini CLI és az Anthropic Claude Code népszerűségét használják ki fejlesztők és technikai felhasználók kompromittálására. A támadók hamis installációs oldalakat hoznak létre – például geminicli[.]co[.]com vagy claudecode[.]co[.]com domaineken –, amelyek megtévesztően hasonlítanak az eredeti dokumentációkra. A felhasználókat arra veszik rá, hogy PowerShell vagy shell parancsokat másoljanak be termináljukba, miközben valójában infostealer malware települ a rendszerre.
A kampány a InstallFix vagy ClickFix technikára épül. A támadók SEO-manipulációval és Google Ads hirdetésekkel a hamis oldalakat a keresési találatok elejére juttatják, különösen olyan kulcsszavaknál, mint install Claude Code vagy Gemini CLI download. A fertőzéshez nincs szükség exploitokra, maga a felhasználó futtatja le a káros parancsot.
A malware-ek elsődleges célja fejlesztői környezetek kompromittálása. Az infostealerek böngészős hitelesítő adatokat, API-kulcsokat, .env fájlokat, GitHub tokeneket, kriptotárca-adatokat és cloud credentialöket gyűjtenek. Egyes variánsok AMOS, Amatera vagy PlugX alapú komponenseket használnak, míg más kampányok Mach-O droppert, osascript-alapú payloadokat és C++ backdoorokat telepítenek macOS rendszereken.
Az EclecticIQ szerint a támadók infrastruktúrája és TTP-i erős szervezettséget mutatnak. A Gemini és Claude kampányok ugyanazokat a domainnév-sémákat, C2-struktúrákat és payload-mechanizmusokat használták, ami arra utal, hogy ugyanaz a fenyegető szereplő állhat mögöttük. Az exfiltrált adatokat olyan infrastruktúrákra küldték, mint az events[.]msft23[.]comvagy events[.]ms709[.]com, legitim Microsoft-szolgáltatásoknak álcázva a kommunikációt.
