Фейковый сайт Claude распространяет вредоносное ПО PlugX через атаку с использованием подмены библиотек (sideloading).

Детали атаки

Поддельный веб-сайт, выдающий себя за Claude от Anthropic, распространяет троянизированный установщик, который развертывает вредоносное ПО PlugX. Домен имитирует официальный сайт Claude, и посетители, скачивающие ZIP-архив, получают копию Claude, которая устанавливается и работает как ожидается, одновременно развертывая вредоносное ПО на заднем плане.

Техническое исполнение

Поддельный сайт предлагает файл под названием Claude-Pro-windows-x64.zip. ZIP-архив содержит установщик MSI, который устанавливается в C:\Program Files (x86)\Anthropic\Claude\Cluade\ — обратите внимание на опечатку "Cluade" как на тревожный признак. Установщик размещает ярлык Claude AI.lnk на рабочем столе, указывающий на Claude.vbs внутри каталога SquirrelTemp.

При выполнении VBScript-дроппер:

• Находит и запускает легитимный claude.exe из C:\Program Files (x86)\Anthropic\Claude\Cluade\claude.exe
• Создает новый ярлык Claude.lnk на рабочем столе, указывающий напрямую на claude.exe
• Копирует три файла из SquirrelTemp в папку автозагрузки Windows: NOVUpdate.exe, avk.dll и NOVUpdate.exe.dat
• Запускает NOVUpdate.exe со скрытым окном (стиль окна 0)

Развертывание вредоносного ПО

Это атака DLL sideloading (MITRE T1574.002). NOVUpdate.exe — это легитимно подписанный обновляющий модуль антивируса G DATA, который пытается загрузить avk.dll из своего каталога. Злоумышленник подменяет вредоносную версию avk.dll, которая читает и расшифровывает полезную нагрузку из сопровождающего файла .dat.

Эта тройка компонентов для sideloading (подписанный исполняемый файл, троянизированная DLL, зашифрованный файл данных) характерна для семейства вредоносного ПО PlugX, трояна удаленного доступа, отслеживаемого с 2008 года.

Поведение и инфраструктура

Анализ в песочнице показывает, что NOVUpdate.exe устанавливает исходящие TCP-соединения с 8.217.190.58 на порту 443 в течение 22 секунд после выполнения. IP-адрес находится в диапазоне, связанном с Alibaba Cloud (8.217.x.x). Вредоносное ПО также изменяет ключ реестра HKLM\System\CurrentControlSet\Services\Tcpip\Parameters.

Скрипт-дроппер включает анти-криминалистические меры: после развертывания файлов полезной нагрузки он записывает пакетный файл ~del.vbs.bat, который ждет две секунды, а затем удаляет как исходный VBScript, так и сам пакетный файл.