Szukasz narzędzia w Google, klikasz pierwszy wynik, wklejasz komendę instalacyjną do terminala – i właśnie zainstalowałeś malware. Brzmi jak scenariusz z filmu? Niestety to rzeczywistość 2026 roku. Zjawisko nazywa się malvertising i dotyczy nie tylko programistów, ale też marketerów i właścicieli firm.
Spis treści
1. Co to jest malvertising?
Malvertising (od ang. malicious advertising) to technika, w której przestępcy wykorzystują płatne reklamy – najczęściej w Google – do dystrybucji złośliwego oprogramowania lub kradzieży danych logowania.
Mechanizm jest prosty i przez to skuteczny: atakujący kupuje reklamę na popularne zapytanie (np. „Slack download” albo „Semrush login”), tworzy stronę łudząco podobną do oryginału i czeka, aż ofiary same do niej trafią. Reklama wyświetla się nad wynikami organicznymi, więc wiele osób klika ją odruchowo.
Dlaczego to działa? Bo ufamy Google. Sponsorowany wynik wygląda jak oficjalny link. Google weryfikuje reklamodawców, ale przestępcy używają skradzionych kont i technik maskowania (cloaking), żeby przejść weryfikację.
2. Jak działa atak przez fałszywe reklamy Google?
Schemat jest powtarzalny, niezależnie od tego, pod jakie narzędzie podszywają się oszuści:
- Przejęcie lub utworzenie konta Google Ads – często używają skradzionych kont prawdziwych firm
- Stworzenie fałszywej strony – hostowanej na zaufanych platformach (Cloudflare Pages, Squarespace, GitHub Pages), co utrudnia wykrycie
- Cloaking – reklama i strona wyglądają bezpiecznie dla weryfikatorów Google, ale przekierowują prawdziwych użytkowników na złośliwą wersję
- Dystrybucja payloadu – użytkownik pobiera „instalator” lub wkleja komendę w terminal, co uruchamia infostealera
Co kradnie infostealer?
- Hasła zapisane w przeglądarce
- Cookies i tokeny sesji (pozwalają przejąć konto bez hasła)
- Dane portfeli kryptowalutowych
- Pliki z pulpitu i dokumentów
- Dane kart płatniczych
3. Kogo dotyczy – nie tylko programiści
Pierwsze kampanie malvertisingowe celowały głównie w developerów – osoby przyzwyczajone do instalowania narzędzi przez komendy w terminalu. Ale w 2025 i 2026 roku zasięg się drastycznie poszerzył.
Na celowniku są teraz:
- Programiści – szukający Claude Code, GitHub Desktop, Homebrew, VS Code
- Marketerzy i specjaliści SEO – logujący się do Semrush, Google Ads, Meta Business Suite
- Użytkownicy narzędzi AI – pobierający ChatGPT, DeepSeek, Grok
- Zwykli użytkownicy – szukający 7-Zip, Notepad++, LibreOffice, Slack, Notion
Uwaga dla marketerów: Jeśli prowadzisz kampanie Google Ads, jesteś podwójnie zagrożony. Przestępcy celują w konta reklamowe – przejęcie Twojego konta Google Ads daje im platformę do kolejnych ataków malvertisingowych.
4. Głośne przypadki z 2024-2026
Skala problemu jest ogromna. Oto najważniejsze kampanie odkryte w ostatnich dwóch latach:
| Narzędzie | Malware | Data | Kto odkrył |
|---|---|---|---|
| Claude Code | Amatera Stealer | 03/2026 | Push Security |
| Homebrew (macOS) | AMOS Stealer | 01/2025 | BleepingComputer |
| Slack, Notion, Basecamp | AMOS + Rhadamanthys | 08-10/2024 | Malwarebytes |
| GitHub Desktop | GPUGate | 12/2024 | Arctic Wolf |
| DeepSeek | Heracles Trojan | 03/2025 | Malwarebytes |
| ChatGPT, Grok | AMOS (ClickFix) | koniec 2025 | Kaspersky, Kroll |
| 7-Zip, Notepad++, LibreOffice | macOS infostealers | 2025 | Bitdefender |
Kampania InstallFix – Claude Code pod lupą
Kampania odkryta przez Push Security w marcu 2026 zasługuje na szczególną uwagę, bo pokazuje jak precyzyjnie atakujący celują w programistów.
Narzędzia takie jak Homebrew, Rust, nvm, Bun czy oh-my-zsh instaluje się przez wklejenie jednej komendy w terminal – np. curl ... | sh. Bezpieczeństwo takiego podejścia opiera się na zaufaniu do dostawcy oprogramowania. Problem w tym, że ten nawyk niebezpiecznie przyzwyczaja do uruchamiania „obcego” kodu bez weryfikacji.
Atakujący wykorzystali ten nawyk tworząc fałszywe strony instalacyjne Claude Code – narzędzia AI dla programistów działającego w wierszu poleceń. Strony były łudząco podobne do oryginału. Jedyna różnica? Komendy instalacyjne wskazywały na serwer kontrolowany przez przestępców zamiast na oficjalne claude.ai.
Jak to działa na Windows: Użytkownik wykonuje polecenie w cmd.exe, które uruchamia mshta.exe dla fałszywego URL (np. claude.update-version.com/claude). Mshta.exe pobiera i uruchamia malware – infostealer Amatera, kradnący hasła, cookies i tokeny sesji z przeglądarki.
Sprytny detal: wszystkie linki na fałszywych stronach (dokumentacja, changelog itp.) przekierowywały do prawdziwej strony Claude. Użytkownik klikający po stronie nie miał powodu podejrzewać, że nie jest na oficjalnej witrynie.
Badacze z Push Security nazwali tę technikę InstallFix – wariant znanego ataku ClickFix. Różnica jest kluczowa: ClickFix wymaga stworzenia wiarygodnej legendy (np. „zaktualizuj Windows”, „rozwiąż CAPTCHA”). InstallFix tego nie potrzebuje – wystarczy chęć zainstalowania oprogramowania i podszycie się pod nie.
Fałszywe strony hostowano na subdomenach zaufanych platform: claud-code.pages.dev (Cloudflare Pages), claudecode-developers.squarespace.com i kilkanaście innych. Oprócz Claude Code, atakujący celowali też w NotebookLM.
Kampania GPUGate zasługuje na szczególną uwagę – malware deszyfrował się tylko na maszynach z prawdziwą kartą graficzną (GPU), co blokowało analizę w środowiskach wirtualnych. To pokazuje, jak zaawansowane są współczesne ataki.
5. Marketerzy na celowniku – Semrush, Google Ads, Meta
To nie jest tylko problem „techniczny”. W marcu 2025 Malwarebytes odkrył kampanię wymierzoną bezpośrednio w specjalistów SEO i marketerów.
Atak na użytkowników Semrush
Fałszywe reklamy Google na zapytanie „semrush” prowadziły do stron wyglądających identycznie jak panel logowania Semrush. Jedyna opcja? „Zaloguj się przez Google”. Cel nie był przypadkowy – konta Google powiązane z Semrush mają zazwyczaj dostęp do Google Ads, Analytics i Search Console.
Przejęcie takiego konta to jackpot dla przestępcy – dostaje narzędzia do prowadzenia kolejnych kampanii malvertisingowych.
Fałszywe strony Google Ads
Jeszcze bardziej paradoksalny przypadek: fałszywe reklamy Google Ads… na zapytanie „Google Ads”. Przestępcy hostowali strony phishingowe na Google Sites, dzięki czemu reklama wyświetlała prawdziwy adres ads.google.com. Zbierali dane logowania razem z kodami 2FA.
Malwarebytes zidentyfikował co najmniej 3 grupy przestępcze (z Brazylii, Azji i Europy Wschodniej) prowadzące takie kampanie równocześnie.
Technika ClickFix – nowe podejście
Od końca 2025 roku popularność zyskała technika ClickFix. Zamiast dawać do pobrania plik, atakujący tworzą strony udające interfejs ChatGPT lub innego narzędzia AI z instrukcją krok po kroku: „Wklej tę komendę w terminal”. Ofiara sama instaluje malware, myśląc, że konfiguruje narzędzie.
6. Jak się chronić przed malvertisingiem?
Dla każdego użytkownika
- Zainstaluj bloker reklam (uBlock Origin) – to najprostsza i najskuteczniejsza ochrona. Sponsorowane wyniki po prostu znikną
- Sprawdzaj URL przed kliknięciem – zwracaj uwagę na literówki w domenach (np.
claud-codezamiastclaude) - Nie wklejaj komend z internetu na ślepo – zawsze weryfikuj, skąd pochodzi instrukcja instalacji
- Korzystaj z menedżera haseł – nie uzupełni formularza na fałszywej domenie
- Włącz 2FA oparte na kluczu sprzętowym (np. YubiKey) – kody SMS i TOTP można przechwycić
Dla marketerów i właścicieli kont reklamowych
- Zapisz oficjalne adresy narzędzi w zakładkach – loguj się z zakładek, nie z Google
- Monitoruj swoje konta Google Ads – nieautoryzowane kampanie to sygnał przejęcia
- Ogranicz uprawnienia – nie każdy w zespole potrzebuje roli administratora
- Sprawdzaj alerty bezpieczeństwa Google – reaguj na powiadomienia o nowych logowaniach
Dla programistów
- Instaluj narzędzia z oficjalnych źródeł – pip, npm, brew, apt – nie ze stron znalezionych w Google
- Weryfikuj skrypty instalacyjne – przeczytaj co robi komenda
curl | bashzanim ją uruchomisz - Unikaj obfuskowanych poleceń – zaszyfrowana lub zakodowana komenda to czerwona flaga
7. FAQ
Czy Google nie weryfikuje reklam?
Weryfikuje, ale przestępcy używają technik maskowania (cloaking) – weryfikatorom Google pokazują bezpieczną stronę, a prawdziwym użytkownikom przekierowują na złośliwą. Google blokuje takie konta po wykryciu, ale zanim to nastąpi, tysiące osób mogą kliknąć reklamę.
Mam antywirusa – czy to wystarczy?
Nie zawsze. Nowoczesne infostealery są projektowane tak, by omijać popularne antywirusy. Niektóre (jak GPUGate) aktywują się tylko na maszynach z prawdziwym sprzętem, co utrudnia wykrycie w środowiskach testowych. Najlepsza ochrona to prewencja – bloker reklam i ostrożność.
Co zrobić, jeśli już kliknąłem podejrzany link?
Natychmiast zmień hasła do kluczowych kont (Google, bank, media społecznościowe). Sprawdź aktywne sesje i wyloguj nieznane urządzenia. Przeskanuj komputer narzędziem Malwarebytes. Jeśli masz konto Google Ads – sprawdź, czy nie pojawiły się nieautoryzowane kampanie.
Czy malvertising dotyczy tylko Google?
Głównie Google, bo ma największy udział w rynku wyszukiwania. Ale Malwarebytes odnotował analogiczne kampanie również w Microsoft Advertising (Bing). Zasada jest prosta: wszędzie, gdzie są płatne wyniki wyszukiwania, mogą pojawić się fałszywe reklamy.