Специалисты компании Sopho сообщили о новой вредоносной кампании, использующей поддельный сайт Claude AI для заражения Windows-компьютеров. Мошенники создали ресурс «claude-pro[.]com», визуально напоминающий официальный сервис Claude, и предлагают пользователям скачать якобы «профессиональный» инструмент для разработчиков под названием Claude-Pro Relay. На деле загрузка представляет собой архив размером около 500 МБ с троянизированным установщиком. После запуска система получает несколько вредоносных компонентов, включая ранее не описанный бэкдор Beagle.
По данным исследователей, заражение начинается с загрузчика DonutLoader, после чего в систему внедряется Beagle — относительно простой, но опасный бэкдор с функциями удаленного управления. Он позволяет злоумышленникам выполнять команды, загружать и скачивать файлы, создавать каталоги и управлять содержимым системы. Особенность атаки заключается в использовании подписанного файла обновления от антивирусного ПО G Data. Через него злоумышленники подгружают вредоносную DLL-библиотеку и зашифрованную полезную нагрузку, которая затем запускается напрямую в памяти. Такой подход помогает обходить обнаружение со стороны защитных систем.
Ранее цепочки с использованием PlugX и DonutLoader уже фиксировались в атаках на государственные организации в Азии, однако теперь исследователи считают, что операторы тестируют новую полезную нагрузку — Beagle. Связь с управляющим сервером осуществляется через домен «license[.]claude-pro[.]com» с использованием шифрования AES. Также специалисты обнаружили дополнительные образцы вредоноса, распространявшиеся через поддельные сайты обновлений популярных защитных решений, включая CrowdStrike и SentinelOne.
Эксперты рекомендуют загружать Claude только с официальных ресурсов и внимательно проверять адреса сайтов, особенно при переходе по рекламным ссылкам в поисковиках. Наличие файлов NOVupdate в системе может указывать на успешное заражение.
