Отравление поисковой выдачи под видом установки Claude Code: шестиэтапная кампания по краже данных нацелена на начинающих разработчиков

Жертва в данном сценарии - не халатный системный администратор, игнорирующий политику безопасности. Это человек, который впервые садится за установку инструмента, искренне увлечён новой возможностью. Атакующие разместили в результатах поиска поддельную страницу установки, имитирующую официальный сайт компании Anthropic (разработчика Claude Code). Когда пользователь нажимает на эту ссылку, он попадает на мошеннический сайт, где его просят открыть диалоговое окно "Выполнить" (Win+R) и вставить команду, якобы необходимую для завершения установки. Эта техника известна как ClickFix - социальная инженерия, при которой действия злоумышленника маскируются под стандартные шаги настройки.

Команда, которую вводит жертва, запускает mshta.exe (штатная утилита Windows для обработки HTML-приложений). Утилита обращается по HTTPS к домену download.version-516[.]com и загружает файл размером 6,7 МБ. Этот файл оказывается полиглотом MP3/HTA: он содержит действительные аудиоданные с тегами ID3v2.4 и даже встроенную обложку, поэтому медиаплеер воспроизводит его как музыку. Однако mshta.exe находит внутри скрытый скрипт HTA и выполняет его. Подобная конструкция обходит проверку по типу файла: системы безопасности видят в заголовке MP3 и часто не анализируют содержимое дальше. Если же "песочница" пытается открыть файл как аудио, анализ и вовсе прекращается.

Следующий этап - закрепление в системе. HTA-скрипт создаёт запланированную задачу через COM-объект Schedule.Service, которая запускает cmd.exe с отложенным раскрытием переменных. Командная строка динамически собирает слово "powershell", разбивая его на части, чтобы обойти сигнатурный анализ. При этом запускается именно 32-битная версия PowerShell (из папки SysWOW64). Этот выбор не случаен: телеметрия систем обнаружения на конечных точках (EDR) часто хуже покрывает 32-битные процессы. Загруженный PowerShell-скрипт выполняет три действия: обходит защиту AMSI (встроенный интерфейс сканирования скриптов Windows), расшифровывает строки с помощью алгоритма RC4 (используя жёстко зашитый ключ), и вычисляет MD5-хеш от конкатенации имени компьютера и имени пользователя. Этот хеш станет уникальной меткой для каждой жертвы.

На третьем этапе скрипт с помощью IEX (Invoke-Expression) загружает второй PowerShell-скрипт по адресу, построенному из этого хеша: https://<MD5_HASH>.oakenfjrod[.]ru/cloude-... Уникальная структура поддомена делает бесполезным обмен статическими индикаторами компрометации (IOC) на уровне URL - каждый адрес существует только для одной жертвы. Второй скрипт весит около 17 мегабайт. Обычные легитимные загрузчики занимают менее 100 килобайт. Столь большой размер - намеренная уловка, затрудняющая работу автоматических деобфускаторов, переполняющая память "песочниц" и замедляющая анализ вручную. Внутри скрипта уложены многослойные массивы байтов, дробление строк, подмена имён переменных на этапе выполнения, а также три уровня шифрования: Base64, RC4 и XOR с ключом "AMSI_RESULT_NOT_DETECTED" (это буквально строка, которую использует сама Microsoft для отключения антивирусного сканирования).

Финальный этап - загрузка и выполнение рефлексивного .NET-похитителя данных (infostealer). Вредоносная программа никогда не записывается на диск, не загружается как модуль и не создаёт дочерних процессов. Весь код выполняется внутри адресного пространства уже запущенного powershell.exe. Используется штатная возможность .NET Framework - Assembly.Load(byte[]) - для исполнения управляемого кода напрямую из массива байтов. Это эквивалентно техникам Cobalt Strike execute-assembly, но без внешнего загрузчика. Никаких файловых артефактов, никаких новых процессов, никаких событий загрузки образов. Похититель устанавливает связь с командным центром (C2) по HTTPS на IP-адрес 185[.]177[.]239[.]255:443 и передаёт учётные данные из браузерного хранилища.

Кампания демонстрирует продуманный набор обходных приёмов. MP3/HTA-полиглот обходит фильтрацию по типу файла. 32-битный PowerShell снижает объём телеметрии EDR. AMSI-обход расчищает путь для выполнения в памяти. 17-мегабайтный скрипт ломает инструменты анализа и истощает ресурсы "песочниц". Уникальные поддомены для каждой жертвы нейтрализуют статические индикаторы. Рефлексивный .NET-этап не оставляет файлов и новых процессов.

Примечательно здесь не новизна отдельных техник - каждая из них хорошо документирована. Примечателен выбор цели: быстрорастущая аудитория неопытных пользователей с высокой мотивацией, низкой осведомлённостью об угрозах и поисковиком, который на мгновение поставил злоумышленника туда, где должна быть страница легитимной установки. Компания Anthropic не взломана - бренд используется для подделки. Легитимный путь установки Claude Code не затронут. Тем не менее, любой пользователь, которому поддельная страница предлагает вставить команду в окно "Выполнить", должен расценивать это как признак заражения.

Группа Howler Cell продолжит мониторинг инфраструктуры кампании, включая домены download.version-516[.]com и oakenfjrod[.]ru, а также IP-адрес 185[.]177[.]239[.]255. Для защиты специалистам по безопасности рекомендуется блокировать на уровне DNS домен oakenfjrod[.]ru целиком, а также обращать внимание на любой исходящий трафик mshta.exe - в корпоративной среде он практически никогда не требуется. Etw-события загрузки .NET-сборок из PowerShell также дают хорошие возможности обнаружения там, где файловые методы бессильны.

IPv4

• 185.177.239.255

Domains

• *.oakenfjrod.ru
• download.version-516.com
• oakenfjrod.ru

URLs

• https://[md5_16char].oakenfjrod.ru/cloude-[uuid]