Claude Fraud – When Trusted Tools Become the Attack Surface: Weaponizing AI Developer Tooling Against the Security Community
Uma nova e sofisticada campanha de malware, denominada Claude Fraud, está explorando a confiança depositada em ferramentas populares de desenvolvimento de IA para atacar desenvolvedores e profissionais de segurança. Utilizando as marcas Claude.ai e Visual Studio Code (VS Code), os cibercriminosos buscam entregar malware, visando especificamente aqueles que confiam nesses ecossistemas para seus fluxos de trabalho.
A campanha, que se manifesta em múltiplas variantes, tem como alvo tanto usuários tecnicamente avançados quanto entusiastas de IA recém-chegados. O objetivo é claro: transformar ferramentas confiáveis em vetores de ataque, explorando a necessidade de adoção rápida e a familiaridade com o ecossistema de IA. Dados preliminares indicam um alcance significativo, com milhares de vítimas já documentadas publicamente.
A nova superfície de ataque: ferramentas de desenvolvimento de IA
Nos últimos 18 meses, a adoção de ferramentas de codificação com IA, como Claude Code, GitHub Copilot e Cursor, disparou, tornando-se padrão em ambientes de desenvolvimento de todos os portes. Essa popularidade massiva criou uma nova e ainda pouco explorada superfície de ataque, que os operadores do Claude Fraud reconheceram rapidamente.
Essas ferramentas de IA para desenvolvedores compartilham características que as tornam atraentes para atores maliciosos:
- São frequentemente baixadas e instaladas, muitas vezes por usuários que seguem guias da comunidade em vez de fluxos de trabalho formais de TI.
- Geram comandos de shell e interações de terminal de alta frequência, o que pode mascarar atividades de processos maliciosos.
- Estão associadas a domínios confiáveis que os usuários, incluindo profissionais de segurança, geralmente não escrutinam tanto quanto um download aleatório.
- O ecossistema de extensões do VS Code é aberto e amplamente distribuído, fornecendo um canal de distribuição legítimo para comprometer sistemas de desenvolvedores.
Claude Fraud: Vetores de ataque detalhados
A campanha Claude Fraud explora essas propriedades de forma simultânea através de dois vetores de entrega distintos:
Vetor 1: Google Ads + Landing Page Falsa (macOS)
Neste cenário, um desenvolvedor ou profissional de segurança que pesquisa termos técnicos comuns em um navegador se depara com um link patrocinado no topo dos resultados do Google. Este link leva a uma página que aparenta ser um guia técnico oficial.
Existem duas subvariantes observadas:
Subvariante A: Artefato Legítimo do claude.ai (Histórico)
O link patrocinado direcionava para um artefato legítimo do claude.ai – conteúdo gerado pelo usuário hospedado na própria infraestrutura da Anthropic. Moonlock Lab documentou essa variante sendo acessada mais de 15.600 vezes antes de ser derrubada.
Subvariante B: Página Falsa Hospedada no Squarespace (Ativa)
A variante atualmente ativa e mais observada hospeda o conteúdo malicioso em um domínio do Squarespace, imitando o estilo visual da documentação legítima do Claude Developer. A página é convincente o suficiente para passar pela análise visual de um desenvolvedor.
Em ambas as subvariantes, o mecanismo central do ataque é idêntico: a página instrui o leitor a colar um comando no Terminal do macOS para “instalar” ou “corrigir” algo. Ao executar o comando, o usuário é comprometido. O comando no Terminal, passado como uma string codificada em base64 para o bash, decodificava e executava um script. Este script baixava um loader para o MacSync infostealer, um malware que rouba informações e tem como alvo sistemas macOS.
O MacSync coleta credenciais do Keychain do macOS, dados de login e cookies de sessão de navegadores, e chaves privadas de carteiras de criptomoedas. Os dados roubados são compactados em um arquivo ZIP e exfiltrados para a infraestrutura do atacante, com mecanismos sofisticados de tentativa e nova tentativa.
É notável que os atacantes utilizaram contas de publicidade comprometidas de organizações legítimas para veicular esses anúncios, o que ajudou os anúncios a passar nas verificações de verificação de anunciantes do Google, dificultando sua remoção.
Vetor 2: Extensão Maliciosa do VS Code (Windows)
O segundo vetor do Claude Fraud é mais sofisticado e furtivo. Ele utiliza uma extensão do VS Code capaz de executar comandos em segundo plano, enquanto o usuário continua suas atividades de desenvolvimento normal. A 7AI identificou dois incidentes confirmados em um grande ambiente de tecnologia.
Incidente A: Execução de LOLBIN via mshta.exe
O primeiro incidente envolveu o VS Code iniciando o PowerShell, que por sua vez executou o binário legítimo do Windows mshta.exe para buscar e executar um payload HTA (HTML Application) diretamente na memória a partir de um URL remoto: https://claude-code.official-version[.]com/claude. Essa técnica é amplamente abusada para executar código remoto sem escrever um arquivo no disco, dificultando a detecção.
Incidente B: Exclusão do Defender + Execução de Payload
Um segundo incidente, ocorrido no mesmo dia em outro host, também começou com o VS Code iniciando o PowerShell. No entanto, o comportamento de segundo estágio diferiu: o comando PowerShell executado pela extensão adicionou exclusões ao Windows Defender para o diretório de desenvolvimento do usuário e para C:\temp, antes de iniciar um executável disfarçado de ferramenta de benchmark legítima.
Apesar dos diferentes payloads de segundo estágio, ambos os incidentes compartilham características críticas: a execução começou com o VS Code iniciando o PowerShell, ocorreram em hosts e contas de usuário diferentes, e ambos envolveram ambientes de desenvolvimento. A hipótese mais consistente com todas as evidências é que uma extensão maliciosa do VS Code, disfarçada de plugin oficial “Claude Code”, foi instalada por ambos os usuários.
As extensões do VS Code podem executar comandos de forma silenciosa através da API do editor, sem interação do usuário ou uma janela de terminal visível. Isso permite que comandos maliciosos rodem mesmo quando nenhum terminal integrado está aberto.
Como a 7AI detectou Claude Fraud
Para ambos os vetores de ataque, os agentes de IA SOC da 7AI identificaram a atividade do Claude Fraud como verdadeiros positivos correlacionando a cadeia de processos, o contexto comportamental e os sinais de infraestrutura. Esta abordagem de raciocínio multissinal é difícil para sistemas de detecção tradicionais baseados em regras.
No incidente macOS, um alerta de comportamento de processo incomum após uma interação com o navegador levou à correlação da árvore de processos, chamada de rede e reputação do domínio recém-registrado. Nos incidentes Windows, alertas do CrowdStrike Falcon foram ingeridos na plataforma 7AI, e os agentes de IA reconstruíram a cadeia de execução, correlacionando-a com sinais de infraestrutura e comportamentais para determinar que ambos os eventos representavam o mesmo padrão de ataque.
A campanha Claude Fraud demonstra uma evolução preocupante no uso de ferramentas de desenvolvimento de IA como superfície de ataque, exigindo vigilância contínua e defesas adaptativas por parte da comunidade de segurança.

Deixe um comentário