가짜 Claude 사이트가 사이드로딩 공격을 통해 PlugX 멀웨어를 유포합니다

공격 상세

Anthropic의 Claude를 사칭하는 가짜 웹사이트가 PlugX 악성코드를 배포하는 트로이 목마화된 설치 프로그램을 제공합니다. 이 도메인은 Claude의 공식 사이트를 모방하며, ZIP 아카이브를 다운로드하는 방문자는 배경에서 악성코드를 배포하면서도 예상대로 설치되고 실행되는 Claude 복사본을 받게 됩니다.

기술적 실행

가짜 사이트는 Claude-Pro-windows-x64.zip이라는 파일을 제공합니다. ZIP 파일에는 C:\Program Files (x86)\Anthropic\Claude\Cluade\에 설치되는 MSI 설치 프로그램이 포함되어 있습니다 - "Cluade"라는 오타가 주의 신호입니다. 설치 프로그램은 SquirrelTemp 디렉토리 내의 Claude.vbs를 가리키는 Claude AI.lnk 바로 가기를 데스크톱에 배치합니다.

실행되면 VBScript 드로퍼는:

• C:\Program Files (x86)\Anthropic\Claude\Cluade\claude.exe에서 합법적인 claude.exe를 찾아 실행합니다
• claude.exe를 직접 가리키는 Claude.lnk 바로 가기를 데스크톱에 새로 생성합니다
• SquirrelTemp에서 Windows 시작 폴더로 세 개의 파일을 복사합니다: NOVUpdate.exe, avk.dll, NOVUpdate.exe.dat
• 숨겨진 창(창 스타일 0)으로 NOVUpdate.exe를 실행합니다

악성코드 배포

이는 DLL 사이드로딩 공격(MITRE T1574.002)입니다. NOVUpdate.exe는 합법적으로 서명된 G DATA 안티바이러스 업데이터로, 해당 디렉토리에서 avk.dll을 로드하려고 시도합니다. 공격자는 동반된 .dat 파일에서 페이로드를 읽고 해독하는 악성 버전의 avk.dll로 대체합니다.

이 세 구성 요소 사이드로딩 삼중주(서명된 실행 파일, 트로이 목마화된 DLL, 암호화된 데이터 파일)는 2008년부터 추적된 원격 접속 트로이 목마인 PlugX 악성코드 패밀리의 특징입니다.

행동 및 인프라

샌드박스 분석에 따르면 NOVUpdate.exe는 실행 후 22초 이내에 포트 443의 8.217.190.58로 아웃바운드 TCP 연결을 설정합니다. 이 IP는 Alibaba Cloud 관련 주소 범위(8.217.x.x)에 속합니다. 악성코드는 또한 레지스트리 키 HKLM\System\CurrentControlSet\Services\Tcpip\Parameters를 수정합니다.

드로퍼 스크립트에는 포렌식 방지 조치가 포함되어 있습니다: 페이로드 파일을 배포한 후, 2초를 기다린 다음 원본 VBScript와 배치 파일 자체를 모두 삭제하는 ~del.vbs.bat 배치 파일을 작성합니다.