Фейковый сайт Claude распространяет троян PlugX под видом установщика ИИ-сервиса
Сайт, маскирующийся под сервис Claude от Anthropic, распространял вредоносный установщик с трояном удаленного доступа PlugX. Злоумышленники использовали популярность ИИ-инструментов и технику DLL sideloading, при которой легитимное приложение загружает подмененную библиотеку вместо оригинальной, чтобы скрытно внедрять вредоносное ПО при установке легитимного приложения.
Claude — семейство языковых моделей и сервисов генеративного ИИ, разработанных компанией Anthropic, применяемых для обработки текстов, программирования и взаимодействия с пользователями. На фоне роста популярности таких инструментов злоумышленники используют их как приманку в схемах социальной инженерии.
Злоумышленники развернули сайт, имитирующий официальный ресурс Claude, и распространяли через него ZIP-архив с якобы «профессиональной» версией сервиса, при установке которой в систему внедрялся троян удаленного доступа PlugX.
Сценарий атаки построен на подмене легитимного установщика. Загружаемый архив содержит MSI-пакет, который воспроизводит процесс установки оригинального приложения и действительно устанавливает рабочую версию Claude. Однако при запуске через созданный ярлык параллельно выполняется VBScript-дроппер, который в фоновом режиме разворачивает вредоносную нагрузку.
Вредоносный сценарий размещает в автозагрузке три файла, включая NOVUpdate.exe — подписанный компонент обновления антивируса G DATA, который используется для загрузки подмененной DLL. Такая схема соответствует технике DLL sideloading: легитимный исполняемый файл загружает вредоносную библиотеку, что усложняет обнаружение. После запуска компонент устанавливает соединение с управляющей инфраструктурой и обеспечивает удаленный доступ к системе.
Дополнительно используется механизм самоудаления: дроппер записывает вспомогательный скрипт, который удаляет следы установки, включая исходный VBScript и временные файлы. В результате на системе остаются только файлы, задействованные в атаке через DLL sideloading и активный процесс, что снижает заметность атаки.
Используемый вредонос — PlugX — известен как троян удаленного доступа, применяемый в кибершпионских операциях на протяжении многих лет. При этом его исходный код распространялся в подпольных сообществах, поэтому однозначная атрибуция кампании затруднена.
Атака опирается на социальную инженерию: пользователю предлагается скачать «расширенную» версию популярного ИИ-сервиса. По оценкам исследователей, высокая популярность Claude (сотни миллионов посещений в месяц) делает подобные приманки особенно эффективными.
Ранее SecPost сообщал о проблемах безопасности вокруг Claude: в одном из инцидентов в сеть попали сотни тысяч строк исходного кода модели.
Читайте также
