가짜 Claude 사이트가 사이드로딩 공격을 통해 PlugX 멀웨어를 유포합니다

✍️ OpenClawRadar📅 게시일: April 19, 2026🔗 Source
가짜 Claude 사이트가 사이드로딩 공격을 통해 PlugX 멀웨어를 유포합니다
Ad

공격 상세

Anthropic의 Claude를 사칭하는 가짜 웹사이트가 PlugX 악성코드를 배포하는 트로이 목마화된 설치 프로그램을 제공합니다. 이 도메인은 Claude의 공식 사이트를 모방하며, ZIP 아카이브를 다운로드하는 방문자는 배경에서 악성코드를 배포하면서도 예상대로 설치되고 실행되는 Claude 복사본을 받게 됩니다.

기술적 실행

가짜 사이트는 Claude-Pro-windows-x64.zip이라는 파일을 제공합니다. ZIP 파일에는 C:\Program Files (x86)\Anthropic\Claude\Cluade\에 설치되는 MSI 설치 프로그램이 포함되어 있습니다 - "Cluade"라는 오타가 주의 신호입니다. 설치 프로그램은 SquirrelTemp 디렉토리 내의 Claude.vbs를 가리키는 Claude AI.lnk 바로 가기를 데스크톱에 배치합니다.

실행되면 VBScript 드로퍼는:

  • C:\Program Files (x86)\Anthropic\Claude\Cluade\claude.exe에서 합법적인 claude.exe를 찾아 실행합니다
  • claude.exe를 직접 가리키는 Claude.lnk 바로 가기를 데스크톱에 새로 생성합니다
  • SquirrelTemp에서 Windows 시작 폴더로 세 개의 파일을 복사합니다: NOVUpdate.exe, avk.dll, NOVUpdate.exe.dat
  • 숨겨진 창(창 스타일 0)으로 NOVUpdate.exe를 실행합니다
Ad

악성코드 배포

이는 DLL 사이드로딩 공격(MITRE T1574.002)입니다. NOVUpdate.exe는 합법적으로 서명된 G DATA 안티바이러스 업데이터로, 해당 디렉토리에서 avk.dll을 로드하려고 시도합니다. 공격자는 동반된 .dat 파일에서 페이로드를 읽고 해독하는 악성 버전의 avk.dll로 대체합니다.

이 세 구성 요소 사이드로딩 삼중주(서명된 실행 파일, 트로이 목마화된 DLL, 암호화된 데이터 파일)는 2008년부터 추적된 원격 접속 트로이 목마인 PlugX 악성코드 패밀리의 특징입니다.

행동 및 인프라

샌드박스 분석에 따르면 NOVUpdate.exe는 실행 후 22초 이내에 포트 443의 8.217.190.58로 아웃바운드 TCP 연결을 설정합니다. 이 IP는 Alibaba Cloud 관련 주소 범위(8.217.x.x)에 속합니다. 악성코드는 또한 레지스트리 키 HKLM\System\CurrentControlSet\Services\Tcpip\Parameters를 수정합니다.

드로퍼 스크립트에는 포렌식 방지 조치가 포함되어 있습니다: 페이로드 파일을 배포한 후, 2초를 기다린 다음 원본 VBScript와 배치 파일 자체를 모두 삭제하는 ~del.vbs.bat 배치 파일을 작성합니다.

📖 Read the full source: HN AI Agents

Ad

👀 See Also

LLM 지원 익스플로잇: Anthropic의 Mythos Preview가 애플 M5에서 첫 공개 macOS 커널 익스플로잇을 5일 만에 구축하는 데 기여
Security

LLM 지원 익스플로잇: Anthropic의 Mythos Preview가 애플 M5에서 첫 공개 macOS 커널 익스플로잇을 5일 만에 구축하는 데 기여

Anthropic의 Mythos Preview를 사용하여 보안 회사 Calif가 Apple M5 실리콘에서 최초의 공개 macOS 커널 메모리 손상 익스플로잇을 5일 만에 구축했습니다. 이는 Apple이 5년에 걸쳐 개발한 MIE 하드웨어 보안을 무너뜨린 것입니다.

OpenClawRadar
OpenClaw 보안 감사 명령 프롬프트 일반 영어 취약점 보고서
Security

OpenClaw 보안 감사 명령 프롬프트 일반 영어 취약점 보고서

레딧 사용자가 OpenClaw CLI용 프롬프트를 공유했습니다. 이 프롬프트는 심층 보안 감사를 실행하고 노출된 내용, 심각도 점수, 정확한 구성 수정 사항을 명시하며 결과를 평이한 영어로 출력합니다.

OpenClawRadar
AI 시스템이 12개의 OpenSSL 제로데이 취약점 발견, Curl은 AI 스팸으로 인해 버그 바운티 취소
Security

AI 시스템이 12개의 OpenSSL 제로데이 취약점 발견, Curl은 AI 스팸으로 인해 버그 바운티 취소

AISLE의 AI 시스템이 OpenSSL의 최근 보안 릴리스에서 12개의 제로데이 취약점을 모두 발견했으며, 이는 AI 기반 사이버보안의 첫 번째 대규모 실증 사례입니다. 한편, curl은 AI 생성 스팸 제출로 인해 버그 바운티 프로그램을 취소했습니다.

OpenClawRadar
비탈릭 부테린의 안전한 로컬 LLM 설정 접근법
Security

비탈릭 부테린의 안전한 로컬 LLM 설정 접근법

비탈릭 부테린은 데이터 유출 및 제일브레이크와 같은 프라이버시 위험을 완화하기 위해 로컬 추론, 샌드박싱에 초점을 맞춘 자체 주권적 LLM 구축 방안을 제시합니다.

OpenClawRadar