СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:24
#ИБ

Фальшивый сайт Claude разносит вредоносную DLL-атаку

Недавнее расследование Sophos X-Ops выявило новую вредоносную кампанию, в которой злоумышленники используют поддельный сайт, имитирующий Anthropic’s Claude, для распространения вредоносного ПО через DLL sideloading. На первый взгляд цепочка заражения напоминает исторические операции, связанные с PlugX, однако дальнейший анализ показал наличие нового первого этапа загрузки — DonutLoader — который, в свою очередь, активирует ранее не документированный бэкдор Beagle.

Поддельный сайт и приманка для пользователей

Ключевым элементом кампании стал фальшивый ресурс claude-pro.com. Он выполнен в упрощённом стиле и рассчитан на привлечение внимания пользователей через результаты поисковых систем и, вероятно, через вводящие в заблуждение рекламные объявления. По данным расследования, именно этот вектор позволяет злоумышленникам использовать интерес к популярным AI-инструментам в качестве социальной инженерии.

Атака запускается после загрузки пользователем установочного файла Claude.msi. После установки он размещает в каталоге автозагрузки пользователя три вредоносных файла, обеспечивая дальнейшее выполнение цепочки заражения.

Как работает цепочка заражения

Особое внимание исследователи обратили на компонент NOVupdate.exe, который маскируется под легитимный обновлятор антивируса G DATA. Однако вместо обычной функции обновления он использует DLL sideloading для запуска вредоносной версии avk.dll. Эта техника давно ассоциируется с семейством PlugX и его вариантами, а также усложняет атрибуцию атаки, поскольку пересекается по методам с ShadowPad, ещё одним бэкдором, использующим подгрузку DLL.

После запуска вредоносное ПО разворачивает shellcode Donut — загрузчик с открытым исходным кодом, который затем активирует бэкдор Beagle. Таким образом, цепочка выстроена по принципу многоэтапной загрузки, где каждый следующий компонент скрывает и усиливает работу предыдущего.

Коммуникация с C2-инфраструктурой

Beagle устанавливает связь с сервером управления и контроля (C2) по адресу license.claude-pro.com, используя TCP на порту 443 и UDP на порту 8080. Протокол обмена сообщениями включает жёстко закодированный ключ AES и структурированный формат пакетов, по которому можно определить направление трафика:

  • исходящие сообщения обозначаются как тип «10»;
  • входящие команды обозначаются как тип «11».

Такая организация коммуникации свидетельствует о том, что операторы кампании уделяют особое внимание устойчивости и управляемости своей инфраструктуры.

Эволюция тактик и попытки скрыть следы

Последующие образцы, связанные с этой кампанией, показывают, что злоумышленники меняют тактики, но сохраняют базовую архитектуру атаки, прежде всего DLL sideloading. В арсенале фигурируют дополнительные легитимные имена файлов в сочетании с вредоносными DLL, что указывает на продуманный подход к уклонению от обнаружения.

Отдельного внимания заслуживает инфраструктура кампании: в одних случаях C2-сервер размещается на Alibaba Cloud, а для распространения вредоносного ПО используется Cloudflare. Подобное разделение слоёв затрудняет анализ и повышает живучесть операции.

Выводы: атака подстраивается под актуальные тренды

По оценке исследователей, эта кампания демонстрирует стратегию, адаптирующуюся к текущим технологическим трендам. Злоумышленники активно используют интерес к популярным AI-платформам, а также проверенные техники вроде DLL sideloading, комбинируя их с новой полезной нагрузкой и меняющейся инфраструктурой.

Существующие исследования указывают на паттерн перенастройки ранее эффективных цепочек заражения при одновременном внедрении новых полезной нагрузки, что подчёркивает эволюцию в методологиях злоумышленников.

Что важно для защиты

Специалисты подчёркивают, что в подобных кампаниях особенно важны базовые меры кибергигиены и внимательность к источникам загрузки. На практике это означает следующее:

  • отслеживать имена файлов, связанные с кампанией;
  • не переходить по ссылкам из рекламных объявлений без проверки подлинности ресурса;
  • загружать установочные файлы только с официальных сайтов;
  • контролировать появление подозрительных файлов в каталоге автозагрузки;
  • обращать внимание на признаки DLL sideloading и нестандартное поведение легитимных приложений.

В условиях, когда злоумышленники всё чаще эксплуатируют популярность AI-сервисов и подменяют доверенные бренды, осторожность при переходе по ссылкам и контроль за загрузками остаются критически важными защитными мерами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: