偽のClaudeサイトがサイドローディング攻撃を介してPlugXマルウェアを配信

攻撃の詳細

AnthropicのClaudeを装った偽のウェブサイトは、PlugXマルウェアを展開するトロイの木馬化されたインストーラーを提供します。このドメインはClaudeの公式サイトを模倣しており、ZIPアーカイブをダウンロードした訪問者は、マルウェアをバックグラウンドで展開しながら、期待通りにインストールおよび実行されるClaudeのコピーを受け取ります。

技術的な実行

偽のサイトはClaude-Pro-windows-x64.zipというファイルを提供します。ZIPにはMSIインストーラーが含まれており、C:\Program Files (x86)\Anthropic\Claude\Cluade\にインストールされます - 「Cluade」という誤字が危険信号です。インストーラーはデスクトップにClaude AI.lnkショートカットを配置し、SquirrelTempディレクトリ内のClaude.vbsを指します。

実行されると、VBScriptドロッパーは以下を行います：

• C:\Program Files (x86)\Anthropic\Claude\Cluade\claude.exeから正当なclaude.exeを見つけて実行します
• デスクトップにclaude.exeを直接指す新しいショートカットClaude.lnkを作成します
• SquirrelTempからWindowsスタートアップフォルダーに3つのファイルをコピーします：NOVUpdate.exe、avk.dll、NOVUpdate.exe.dat
• 隠しウィンドウ（ウィンドウスタイル0）でNOVUpdate.exeを起動します

マルウェアの展開

これはDLLサイドローディング攻撃（MITRE T1574.002）です。NOVUpdate.exeは正当に署名されたG DATAアンチウイルスアップデータであり、そのディレクトリからavk.dllをロードしようとします。攻撃者は、付随する.datファイルからペイロードを読み取り復号する悪意のあるバージョンのavk.dllを置き換えます。

この3コンポーネントのサイドローディングトライアド（署名された実行ファイル、トロイの木馬化されたDLL、暗号化されたデータファイル）は、2008年から追跡されているリモートアクセス型トロイの木馬であるPlugXマルウェアファミリーの特徴です。

動作とインフラストラクチャ

サンドボックス分析によると、NOVUpdate.exeは実行から22秒以内にポート443で8.217.190.58へのアウトバウンドTCP接続を確立します。このIPはAlibaba Cloudに関連付けられたアドレス範囲（8.217.x.x）内にあります。マルウェアはまた、レジストリキーHKLM\System\CurrentControlSet\Services\Tcpip\Parametersを変更します。

ドロッパースクリプトにはフォレンジック対策が含まれています：ペイロードファイルを展開した後、2秒待機してから元のVBScriptとバッチファイル自体の両方を削除するバッチファイル~del.vbs.batを書き込みます。