Falošné stránky na Google Sites napodobňujú Claude Code a kradnú heslá bez stiahnutia súboru. Technika ClickFix a in-memory útok obchádzajú tradičné antivírové nástroje.
Ako kampaň funguje
Obeť sa dostane na stránku hostovanú na Google Sites, ktorá na prvý pohľad vyzerá ako oficiálny inštalačný návod pre Claude Code alebo OpenAI Codex. Stránka ju vyzve spustiť krátky príkaz využívajúci mshta.exe — štandardný Windows nástroj, ktorý nevzbudzuje podozrenie.
Tým sa spustí viacstupňová PowerShell sekvencia bežiaca výhradne v pamäti. Škodlivý payload je skrytý v obrazovom súbore pomocou steganografie a extrahovaný až za behu — na disk sa nezapíše nič, čo by tradičný antivírus rozpoznal ako hrozbu. Výsledkom je tichá exfiltrácia uložených hesiel z prehliadača, e-mailových prihlasovacích údajov a obsahu kryptomenových peňaženiek na útočníkom kontrolovaný server.
Prečo je táto kampaň mimoriadne zákerná
Kombinácia troch faktorov robí z tejto kampane obzvlášť efektívnu hrozbu.
- Po prvé, hosting na Google Sites. Doména sites.google.com je dôveryhodná a väčšina organizácií ju štandardne neblokuje — používatelia jej inštinktívne dôverujú.
- Po druhé, in-memory exekúcia. Keďže celý útok prebieha v pamäti a nevytvára tradičné súborové artefakty, bezpečnostné operačné tímy majú po incidente len minimum forenzných stôp.
- Po tretie, steganografia. Skrývanie shellcode v obrazových súboroch redukuje počet detekovaných artefaktov a umožňuje priechod cez nástroje zamerané na analýzu súborov.
Sieťová komunikácia pritom vyzerá ako štandardná PowerShell aktivita — bez behaviorálnej detekcie je prakticky neviditeľná.
Kto je v ohrození
Vývojári a IT pracovníci sú primárnym cieľom — sú zvyknutí spúšťať príkazy podľa inštalačných návodov a menej pravdepodobne spochybnia inštrukcie na stránke, ktorá vyzerá odborne. Práve táto dôvera je základom, na ktorom celý útok stojí.
Čo urobiť
Inštalačné návody pre akýkoľvek nástroj vždy overujte výhradne cez oficiálnu dokumentáciu alebo originálny GitHub repozitár projektu — nie cez výsledky vyhľadávania. Akákoľvek webová stránka vyzývajúca na copy-paste spustenie príkazu by mala byť považovaná za podozrivú bez ohľadu na to, ako legitímne vyzerá.
Z technického hľadiska je kľúčové nasadiť EDR riešenie s behaviorálnou analýzou PowerShell aktivity, keďže tradičné antivírové nástroje tento typ útoku nezachytia. Odporúča sa tiež vzdelávanie vývojárskych a IT tímov špecificky o ClickFix technikách, ktorých výskyt v posledných mesiacoch výrazne rastie.
