Fake Claude Code per Google Ads: wie funktioniert das?

Kommentare
, , , ,
1

Fake Claude Code
Fake Claude Code1536×1024 207 KB

Kommentare zu folgendem Beitrag: Fake Claude Code per Google Ads: wie funktioniert das?

Mehrere Google Ads verteilen Fake Claude Code mit Schadsoftware. Wenn der Installationsbefehl für Interessenten als Lockmittel dient.

2

Hier mal Original (oben) und die Fake-Site (unten) im direkten Vergleich:

grafik
grafik1241×934 109 KB

Auch wenn die erste Zuordnung schon drei Wochen her ist, werden die schädlichen Webseiten weiterhin über Google-gesponserte Suchergebnisse beworben. Komischerweise war dies bei identischer Suche auf verschiedenen Clients nicht jedes Mal so. Wieso, kann ich nicht definitiv sagen. Meine Treffer bezogen sich diesmal auf eine Squarespace-URL
( claude-code-cmd.squarespace[.]com ), die auf eine perfekte Kopie der offiziellen Claude-Code-Dokumentation verwies. Der Payload wäre dabei der berüchtigte „Amatera-Stealer“ gewesen!

Bei Angriffen auf macOS-Systeme enthalten die InstallFix-Befehle zum Herunterladen und Ausführen einer Binärdatei von einer vom Angreifer kontrollierten Domain. Auch wenn diese URL nicht dauerhaft erreichbar ist, scheint sie aktuell wieder genutzt zu werden…

wriconsult.com
:80
Web Property
As of19. März 202614:36 UTC
WAF
HTML Title	
No Data
Browser Trust	
No Data
Ever Valid?	Unknown
Endpoints (1)
80 / HTTP
Software (2)
Cloudflare Load Balancer
Cloudflare Waf
Matched Fields

web.endpoints.hostname
    wriconsult.com
web.endpoints.http.headers.value
    https://wriconsult.com/
web.endpoints.http.uri
    http://wriconsult.com/
web.hostname
    wriconsult.com

wriconsult.com
:443
Web Property
As of19. März 202614:34 UTC
WAF
HTML Title	
404 Not Found
Browser Trust	
Trusted
Ever Valid?	Yes
Endpoints (1)
443 / HTTP
Software (2)
Cloudflare Load Balancer
Cloudflare Waf
Matched Fields

web.cert.names
    wriconsult.com
web.cert.parsed.subject.common_name
    wriconsult.com
web.cert.parsed.subject_dn
    CN=wriconsult.com
web.endpoints.hostname
    wriconsult.com
web.endpoints.http.uri
    https://wriconsult.com/
web.hostname
    wriconsult.com

wriconsult.com
Certificate
As of03. März 202616:38 UTC
dv
ever-trusted
leaf
precert
trusted
unexpired
Issuer	
C=US, O=Google Trust Services, CN=WE1
Validity Period	3. März 20261. Juni 2026
Browser Trust	
Trusted
All Names	
*.wriconsult.com wriconsult.com
Matched Fields

cert.names
    wriconsult.com
cert.parsed.subject_dn
    CN=wriconsult.com

wriconsult.com
Certificate
As of24. Dez. 202513:45 UTC
dv
ever-trusted
leaf
trusted
unexpired
Issuer	
C=AT, O=ZeroSSL, CN=ZeroSSL ECC Domain Secure Site CA
Validity Period	24. Dez. 202525. März 2026
Browser Trust	
Trusted
All Names	
wriconsult.com
Matched Fields

cert.names
    wriconsult.com
cert.parsed.subject_dn
    CN=wriconsult.com

wriconsult.com
Certificate
As of03. März 202617:44 UTC
dv
ever-trusted
leaf
trusted
unexpired
Issuer	
C=US, O=Let's Encrypt, CN=E8
Validity Period	3. März 20261. Juni 2026
Browser Trust	
Trusted
All Names	
*.wriconsult.com wriconsult.com
Matched Fields

cert.names
    wriconsult.com
cert.parsed.subject_dn
    CN=wriconsult.com

www.wriconsult.com
Certificate
As of25. Dez. 202522:04 UTC
dv
ever-trusted
leaf
trusted
unexpired
Issuer	
C=AT, O=ZeroSSL, CN=ZeroSSL ECC Domain Secure Site CA
Validity Period	25. Dez. 202526. März 2026
Browser Trust	
Trusted
All Names	
www.wriconsult.com
Matched Fields

cert.names
    www.wriconsult.com
cert.parsed.subject_dn
    CN=www.wriconsult.com

grafik
grafik1050×4131 1.35 MB

Anm.:
Amatera ist eine relativ neue Malware-Familie, die vermutlich auf dem ACR Stealer basiert und als Abonnementdienst (MaaS) an Cyberkriminelle verkauft wird.

1 „Gefällt mir“
3

Falls es noch irgendwelche Zweifel gab, dass Adblocker einfach nur Selbstverteidigung sind… :wink:

4

Weil die Ads jedesmal neu versteigert werden.

ich sags mal so, die Domains sind schon sehr verräterisch. Aber das Design ist auf jeden Fall perfekt gemacht, da gabs schon schlechtere Umsetzungen. Wer da nicht aufpasst, fällt drauf rein. da hilft dann nur noch 2 Pass wenn man hat.

www.Postbank-sponsortvondeinemhacker.de/meinePostbanklogin.php :wink:

Wer sich bei sowas auf Adblock verlässt fängt am falschen Ende an.

5

Den gesunden Menschenverstand ersetzt das natürlich nicht, klar - aber es ist eben ein (nicht ganz unwichtiges) Element im „Schutzwall“ :slight_smile:

6

Bei jedem Aufruf? Also an drei versch. Clients innerhalb weniger Minuten? Oder denke ich grad to complicated?! :wink:

7

Bin da auch nicht der Superspezialist. Hatte nur gehört das die Infrastruktur schon soweit gediehen ist das Automatiken greifen die bewerten wer wieviel bereit ist zu zahlen und das dann danach ausliefern.