Se stai cercando di scaricare strumenti legati a Claude (l’LLM di Anthropic), fai molta attenzione ai primi risultati che vedi su Google. I ricercatori di sicurezza di Bitdefender hanno recentemente smascherato una sofisticata campagna di phishing che sfrutta i risultati sponsorizzati (Google Ads) per colpire professionisti e sviluppatori.
L’IA nel mirino: come un falso annuncio di Claude può infettare il tuo computer
Nel mondo della cybersecurity, i criminali informatici seguono sempre le tendenze. Con l’esplosione dell’interesse per i modelli linguistici di grandi dimensioni (LLM), non sorprende che Claude, l’intelligenza artificiale sviluppata da Anthropic, sia diventata l’esca perfetta per una nuova e sofisticata operazione di malware.
I ricercatori di Bitdefender hanno lanciato l’allarme su una campagna di phishing che sfrutta il sistema di annunci sponsorizzati di Google per colpire un pubblico specifico e tecnico: sviluppatori e professionisti IT.
La tecnica “ClickFix”
L’attacco non sfrutta una vulnerabilità del software, ma la fiducia dell’utente. Tutto inizia, infatti, con una semplice ricerca su Google. Gli attaccanti acquistano spazi pubblicitari (Google Ads) per termini di ricerca come “Claude Code download”. Poiché l’annuncio appare in cima ai risultati e con una grafica professionale, molti utenti sono portati a ritenerlo legittimo e sicuro. Cliccando sull’annuncio, la vittima viene reindirizzata a un sito ospitato su un sottodominio apparentemente innocuo (come quelli di Squarespace). La pagina è una copia speculare della documentazione ufficiale di Claude: layout, loghi e testi sono identici all’originale, rendendo quasi impossibile distinguere il falso a una prima occhiata.
A questo punto entra in gioco l’ingegneria sociale. Il sito invita l’utente a installare lo strumento tramite una procedura guidata. Viene chiesto di copiare un comando e incollarlo direttamente nel proprio terminale (PowerShell su Windows o Terminale su macOS). Questa tecnica, nota come ClickFix, è estremamente efficace perché simula i reali flussi di lavoro degli sviluppatori.
Una volta che il comando viene eseguito, il sistema scarica ed esegue un malware silenzioso. Su Windows, viene installato un Trojan Stealer. Questo malware è progettato per setacciare il sistema alla ricerca di credenziali, password salvate nei browser, portafogli di criptovalute e dati sensibili. Su macOS: Il comando attiva una Backdoor (basata su file Mach-O). Questo permette agli aggressori di ottenere l’accesso remoto al dispositivo, potendo eseguire comandi a distanza o esfiltrare file riservati.
Il ruolo cruciale di Bitdefender
Il merito della scoperta va ai laboratori di Bitdefender, che grazie a un monitoraggio costante delle minacce emergenti hanno isolato i payload malevoli. L’intervento di Bitdefender evidenzia un cambio di paradigma fondamentale nella cybersecurity: il passaggio dalla difesa perimetrale alla telemetria avanzata. Poiché i vettori di attacco sfruttano canali legittimi come l’advertising sui motori di ricerca, l’efficacia di una protezione moderna si misura sulla sua capacità di isolare payload malevoli in tempo reale. Resta chiaro che la collaborazione tra laboratori di ricerca e utenti finali, unita a strumenti di analisi sofisticati, rappresenta l’argine più solido contro l’evoluzione costante del malware.