La campaña denominada «InstallFix» explota los flujos de trabajo de instalación basados en copiar y pegar comandos (curl-to-bash) para distribuir malware contra usuarios de Claude Code, la interfaz de línea de comandos de Anthropic. Los atacantes clonaron las páginas oficiales de instalación con precisión píxel por píxel y las distribuyeron mediante malvertising (resultados patrocinados en motores de búsqueda).
El payload principal es Amatera Stealer, una evolución del conocido ACR Stealer (AcridRain) comercializado como Malware-as-a-Service (MaaS) en foros cibercriminales rusoparlantes. Este infostealer implementa técnicas avanzadas de evasión como NTSockets directos, resolución dinámica de APIs, Heaven’s Gate (WoW64 syscalls), enmascaramiento CDN y esteganografía.
Adicionalmente, se han identificado dos vulnerabilidades que afectan al manejo de configuraciones de repositorio en Claude Code: CVE-2025-59536 (ejecución de código no autorizado vía hooks y MCP) y CVE-2026-21852 (robo de credenciales API por redirección de headers de autorización). Estas vulnerabilidades amplían significativamente la superficie de ataque cuando se combinan con la campaña de malvertising.
Claude Code install, Claude Code CLI, Claude Code setupcmd.exe → mshta.exe → scripts remotos → payloadsmshta.exe para recuperar y ejecutar scripts HTA desde dominios controlados*.pages.dev), Squarespace, Tencent EdgeOne| Campo | Valor |
|---|---|
| Nombre | Amatera Stealer |
| Alias | AmateraStealer |
| Predecesor | ACR Stealer (AcridRain) |
| Tipo | Infostealer |
| Modelo | Malware-as-a-Service (MaaS) |
| Plataforma | Windows |
| Comercialización | Suscripción en foros cibercriminales rusoparlantes |
Ws2_32.dll, wininet.dll), evitando hooks de seguridad| Táctica | Técnica | ID MITRE | Descripción |
|---|---|---|---|
| Desarrollo de Recursos | Malvertising | T1583.008 | Compra de anuncios patrocinados en buscadores para posicionar páginas maliciosas |
| Acceso Inicial | Phishing | T1566 | Distribución de enlaces maliciosos a través de resultados de búsqueda patrocinados |
| Malicious Copy and Paste | T1204.004 | Explotación de flujos de instalación copy-paste con comandos curl|bash modificados | |
| Ejecución | Command and Scripting Interpreter | T1059 | Uso de intérpretes de comandos para ejecutar payloads |
| PowerShell | T1059.001 | Ejecución de scripts PowerShell ofuscados para descarga de payloads | |
| Visual Basic | T1059.005 | Scripts VBS/HTA ejecutados mediante mshta.exe | |
| Evasión de Defensas | Obfuscated Files or Information | T1027 | Ofuscación general de archivos y código malicioso |
| Dynamic API Resolution | T1027.007 | Resolución dinámica de APIs en tiempo de ejecución para evitar análisis estático | |
| Software Packing | T1027.002 | Empaquetamiento de ejecutables para dificultar la ingeniería inversa | |
| Command Obfuscation | T1027.010 | Ofuscación de comandos en línea de comandos | |
| Steganography | T1027.003 | Ocultación de datos en archivos de imagen | |
| Embedded Payloads | T1027.009 | Payloads embebidos dentro de archivos aparentemente legítimos | |
| Compression | T1027.015 | Compresión de payloads para reducir tamaño y evitar firmas | |
| Deobfuscate/Decode Files | T1140 | Decodificación de payloads en tiempo de ejecución | |
| Match Legitimate Name or Location | T1036.005 | Uso de nombres de proceso y rutas que imitan software legítimo | |
| Virtualization/Sandbox Evasion | T1497 | Detección de entornos virtualizados para evitar análisis | |
| User Activity Based Checks | T1497.002 | Verificación de actividad real del usuario antes de ejecutarse | |
| SyncAppvPublishingServer | T1216.002 | Abuso de binario firmado para ejecución de código indirecta | |
| Evasión de Defensas (cont.) | Mutual Exclusion | T1480.002 | Uso de mutex para garantizar instancia única y evitar análisis paralelo |
| Hide Infrastructure | T1665 | Ocultación de infraestructura C2 detrás de servicios legítimos | |
| Acceso a Credenciales | Credentials from Web Browsers | T1555.003 | Extracción de credenciales almacenadas en navegadores Chromium y Gecko |
| Steal Web Session Cookie | T1539 | Robo de cookies de sesión activas para secuestro de cuentas | |
| OS Credential Dumping | T1003 | Volcado de credenciales del sistema operativo | |
| Descubrimiento | System Information Discovery | T1082 | Recolección de información del sistema: hardware, software, red |
| Recolección | Data from Local System | T1005 | Recolección de archivos sensibles del sistema local |
| Clipboard Data | T1115 | Captura de datos del portapapeles | |
| Screen Capture | T1113 | Capturas de pantalla del escritorio de la víctima | |
| Local Email Collection | T1114.001 | Recolección de correos electrónicos almacenados localmente | |
| Archive Collected Data | T1560 | Empaquetado de datos recolectados para exfiltración eficiente | |
| Comando y Control | Web Protocols | T1071.001 | Comunicación C2 sobre protocolos web estándar (HTTP/HTTPS) |
| Ingress Tool Transfer | T1105 | Descarga de herramientas y payloads adicionales desde el C2 | |
| Encrypted Channel | T1573 | Canal cifrado para comunicaciones C2 | |
| Symmetric Cryptography | T1573.001 | Cifrado simétrico para ofuscación de tráfico | |
| Asymmetric Cryptography | T1573.002 | Cifrado asimétrico para intercambio inicial de claves | |
| Protocol Tunneling | T1572 | Túneles de protocolo para evadir detección | |
| Web Service | T1102 | Abuso de servicios web legítimos como infraestructura C2 | |
| Data Obfuscation | T1001 | Ofuscación de datos en tránsito | |
| Steganography (C2) | T1001.002 | Esteganografía para ocultar datos en comunicaciones C2 | |
| Standard Encoding | T1132.001 | Codificación estándar (Base64) para datos en tránsito | |
| Data Encoding | T1132 | Codificación personalizada de datos para evasión | |
| Native API | T1106 | Uso de APIs nativas del SO para comunicación directa | |
| Ejecución / Privilegios | Process Injection | T1055 | Inyección de código en procesos legítimos |
| Valid Accounts | T1078 | Uso de credenciales válidas robadas para acceso persistente | |
| Impacto | Data Encrypted for Impact | T1486 | Posible cifrado de datos como acción destructiva secundaria |
| Resource Hijacking | T1496 | Secuestro de recursos del sistema para fines del atacante | |
| Compute Hijacking | T1496.001 | Uso no autorizado de recursos de cómputo (criptominería) | |
| Financial Theft | T1657 | Robo financiero directo mediante credenciales bancarias y carteras crypto |
Nota: Los hashes anteriores representan una muestra reducida. Consultar el documento STIX/TAXII — IOCs adjunto para la lista completa de 220 indicadores de compromiso en formato estandarizado.
title: InstallFix Campaign - Suspicious mshta.exe Execution Chain
status: experimental
description: Detects cmd.exe spawning mshta.exe to retrieve remote scripts (InstallFix campaign pattern)
logsource:
category: process_creation
product: windows
detection:
selection:
ParentImage|endswith: '\cmd.exe'
Image|endswith: '\mshta.exe'
CommandLine|contains:
- 'http'
- 'pages.dev'
- 'update-version'
condition: selection
level: high
tags:
- attack.execution
- attack.t1059.004
- attack.t1204.002
falsepositives:
- Legitimate use of mshta.exe to open HTA applications (rare in modern environments)
date: 2026/03/12title: InstallFix Campaign - Suspicious curl/wget to Non-Official Domain
status: experimental
description: Detects curl or wget commands targeting domains associated with InstallFix campaign
logsource:
category: process_creation
product: windows
detection:
selection_tool:
Image|endswith:
- '\curl.exe'
- '\wget.exe'
selection_domain:
CommandLine|contains:
- 'update-version.com'
- 'claude-code-macos.com'
- 'pages.dev'
- 'overplanteasiest.top'
- 'amaprox.icu'
condition: selection_tool and selection_domain
level: high
tags:
- attack.execution
- attack.t1059.004
date: 2026/03/12Monitorizar consultas DNS hacia los siguientes patrones:
*update-version.com — Dominio principal de la campaña*pages.dev con referencia a claude — Abuso de Cloudflare Pagesclaude-code-macos.com — Dominio de typosquatting específicooverplanteasiest.top — Dominio C2 identificadoamaprox.icu — Dominio asociado a Amatera StealerConsulta Splunk de ejemplo:
index=dns sourcetype=dns
| search (query="*update-version.com" OR query="*claude-code*pages.dev"
OR query="claude-code-macos.com" OR query="overplanteasiest.top"
OR query="amaprox.icu")
| stats count by src_ip, query, answer
| sort -count45.94.47.224, 212.34.138.4, 91.98.229.246cmd.exe → mshta.exe → powershell.exe / wscript.execurl o wget apuntando a dominios no oficiales de AnthropicLogin Data, Cookies, Web Data).claude/ y .mcp/. Buscar configuraciones de hooks y MCP no autorizadas.curl|bash desde fuentes no verificadas. Establecer procedimientos de verificación de URLs antes de ejecutar comandos de instalación.La fiabilidad de las fuentes se evalúa según el sistema de clasificación Admiralty (NATO), donde la fiabilidad del emisor se clasifica de A (completamente fiable) a F (no evaluable) y la credibilidad de la información de 1 (confirmada) a 6 (no evaluable).
| Fuente | Fiabilidad | Credibilidad | Código |
|---|---|---|---|
| IBM X-Force | A — Completamente fiable | 1 — Confirmada | A1 |
| Proofpoint Threat Insight | A — Completamente fiable | 2 — Probablemente cierta | A2 |
| FortiGuard Labs | A — Completamente fiable | 2 — Probablemente cierta | A2 |
| eSecurity Planet | B — Normalmente fiable | 2 — Probablemente cierta | B2 |
| SecurityOnline / Daily CyberSecurity | B — Normalmente fiable | 2 — Probablemente cierta | B2 |
| CybersecurityNews | B — Normalmente fiable | 2 — Probablemente cierta | B2 |
| Feedly AI | B — Normalmente fiable | 2 — Probablemente cierta | B2 |
| VirusTotal | B — Normalmente fiable | 1 — Confirmada | B1 |
| CVE Details / NVD | A — Completamente fiable | 1 — Confirmada | A1 |