CyberVeille.ch13h ago

📱 Campagnes malveillantes via Google Ads diffusent AMOS et Amatera dĂ©guisĂ©s en outils IA
📝 ## 🔍 Contexte

Source : Kaspersky Blog (kaspersky.fr), publié le 29 mars 2026.
📖 cyberveille : https://cyberveille.ch/posts/2026-03-29-campagnes-malveillantes-via-google-ads-diffusent-amos-et-amatera-deguises-en-outils-ia/
🌐 source : https://www.kaspersky.fr/blog/fake-ai-agents-infostealers/23740/
#AMOS #Amatera #Cyberveille

Campagnes malveillantes via Google Ads diffusent AMOS et Amatera déguisés en outils IA

🔍 Contexte Source : Kaspersky Blog (kaspersky.fr), publiĂ© le 29 mars 2026. Cet article prĂ©sente les rĂ©sultats d’une investigation approfondie menĂ©e par Kaspersky sur plusieurs campagnes malveillantes exploitant la popularitĂ© des outils d’intelligence artificielle. 🎯 Description de l’attaque Des acteurs malveillants diffusent des infostealers en se faisant passer pour des outils d’IA populaires via des annonces Google Ads sponsorisĂ©es. Les leurres utilisĂ©s incluent : AI Doubao (application chinoise populaire) OpenClaw (assistant IA viral) Claude Code (assistant de programmation d’Anthropic) Lorsqu’un utilisateur clique sur l’annonce malveillante, il est redirigĂ© vers un faux site de documentation hĂ©bergĂ© sur Squarespace (plateforme lĂ©gitime), ce qui permet de contourner les filtres anti-phishing.

CyberVeille
CyberVeille.chMar 13
📱 Campagne InstallFix: des pages d’installation clonĂ©es de Claude Code diffusent l’infostealer Amatera
📝 Selon Malwarebytes, des acteurs malveillants mùne...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-12-campagne-installfix-des-pages-dinstallation-clonees-de-claude-code-diffusent-linfostealer-amatera/
🌐 source : https://www.malwarebytes.com/blog/news/2026/03/fake-claude-code-install-pages-hit-windows-and-mac-users-with-infostealers
#Amatera #Claude_Code #Cyberveille
Campagne InstallFix: des pages d’installation clonĂ©es de Claude Code diffusent l’infostealer Amatera

Selon Malwarebytes, des acteurs malveillants mĂšnent une campagne « InstallFix » en clonant des pages d’installation de Claude Code et en dĂ©tournant les commandes d’installation en un clic pour livrer un infostealer. Les attaquants reproduisent Ă  l’identique des pages de documentation/tĂ©lĂ©chargement (logo, sidebar, texte, bouton « copier ») et n’en modifient que la commande d’installation afin qu’elle pointe vers leur domaine. Cette approche, similaire aux attaques ClickFix, abuse de l’habitude d’exĂ©cuter des « one‑liners » (ex. curl | bash) qui s’exĂ©cutent avec les permissions de l’utilisateur, parfois administrateur. Le payload principal observĂ© est l’infostealer Amatera, ciblant mots de passe enregistrĂ©s, cookies, jetons de session, donnĂ©es d’autoremplissage et informations systĂšme, avec des rapports signalant aussi un intĂ©rĂȘt pour des portefeuilles crypto et comptes Ă  forte valeur.

CyberVeille
Threat InsightJun 18, 2025

In a new blog, Proofpoint threat research engineers disclosed their discovery of Amatera Stealer, a newly rebranded and upgraded malware-as-a-service (MaaS) version of the ACR Stealer.

Read the blog: https://brnw.ch/21wTvkx

While maintaining its roots in ACR Stealer, the latest variant, #Amatera, introduces new features—including sophisticated delivery mechanisms, anti-analysis defenses, and a revamped control structure—making it stealthier and dangerous.

See the Threat Research Engineering blog for IOCs and Emerging Threat signatures.

#securityengineering #detectionengineering #securitycontrols

Amatera Stealer: Rebranded ACR Stealer With Improved Evasion, Sophistication | Proofpoint US

Key takeaways  Proofpoint identified a new, rebranded stealer based on ACR Stealer called Amatera Stealer.   It is delivered via web injects featuring sophisticated attack

Proofpoint