北京
當你搜索"Claude Code安裝"時,排第一的鏈接可能是黑客買的廣告。這不是漏洞攻擊,是專門針對"你會照做"設計的陷阱。
網絡安全公司Trend Micro最近披露了一起名為"InstallFix"的攻擊活動。攻擊者偽造Claude AI安裝頁面,通過谷歌付費廣告將其推至搜索結果首位。用戶點擊后,頁面會根據操作系統(Windows或macOS)提供"官方"安裝命令——復制、粘貼、回車,電腦就被控制了。
這種攻擊的狡猾之處在于它完全繞過了傳統安全防護。沒有漏洞利用,沒有釣魚郵件,只有用戶對AI工具的信任和安裝軟件時的習慣性配合。技術用戶習慣從文檔復制命令行指令,非技術用戶則傾向于跟隨看似官方的屏幕指引,兩個群體在此刻同樣脆弱。
攻擊鏈條設計得相當精密。Windows用戶執行命令后,系統會調用合法的mshta.exe工具下載名為claude.msixbundle的文件——這個文件帶有有效的微軟商店簽名,能騙過基礎安全檢測。包內嵌的HTA載荷會靜默執行VBScript,窗口被縮至零像素,屏幕上完全看不到異常。
后續動作包括收集系統信息、關閉安全功能、創建開機自啟任務,并與攻擊者服務器建立連接等待進一步指令。Trend Micro的遙測數據確認了這些外向連接,且攻擊指標與2023年RedLine Stealer活動高度吻合。目前已確認的受害范圍覆蓋美國、馬來西亞、荷蘭和泰國,涉及政府、教育、電子、餐飲等多個行業。
這不是簡單的"下載了個病毒"。整個感染過程分多個階段展開,每一步都專為隱蔽和持久化設計。當你發現異常時,攻擊者可能已經在你的系統里住了好幾天。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
