Поддельный сайт Claude распространяет PlugX через вредоносный установщик

Недавняя вредоносная кампания использовала популярность Claude — AI tool от Anthropic — чтобы заманить пользователей на поддельный website, полностью имитирующий официальный ресурс. Вместо обещанной Pro-версии посетители получали ZIP-архив с троянским installer, который в итоге разворачивал PlugX на системах ничего не подозревающих жертв.

Как работает схема заражения

На фальшивом сайте пользователям предлагался файл “Claude-Pro-windows-x64.zip”. После загрузки архив содержал MSI installer, устанавливающий программу по обманчивому пути (C:Program Файлы (x86)AnthropicClaudeCluade). Примечательно, что в названии каталога допущена опечатка — “Cluade”, — что может служить явным индикатором поддельной установки.

После запуска installer создавал ярлык на рабочем столе. При нажатии на него активировался VBScript dropper, который выполнял сразу несколько задач: запускал легитимно выглядящее приложение claude.exe и одновременно обеспечивал скрытое развертывание PlugX в фоновом режиме.

DLL sideloading и маскировка под G DATA

Анализ dropper показал, что атака использует технику DLL sideloading, классифицированную в MITRE как T1574.002. Для этого злоумышленники задействовали законно подписанный исполняемый файл NOVUpdate.exe, который маскировался под antivirus updater от G DATA.

Этот файл пытался загрузить вредоносную библиотеку avk.dll. В связке с зашифрованным payload-файлом NOVUpdate.exe.dat это соответствует типичному поведению PlugX — Remote Access Trojan, который часто связывают со шпионажем.

Использование легитимно подписанного файла позволяет злоумышленникам усложнить обнаружение атаки, поскольку основной executable может быть воспринят средствами защиты как доброкачественный.

Анти-криминалистические приемы и persistence

Кампания использовала и методы анти-forensics. После выполнения VBScript удалял сам себя и другие развернутые payload-файлы, оставляя минимум артефактов для последующего анализа.

При этом злоумышленники предусмотрели механизмы persistence: в Startup folder системы сохранялись артефакты, поддерживающие присутствие PlugX и обеспечивающие его повторный запуск после перезагрузки.

Сетевая активность и связь с Alibaba Cloud

Исследование также выявило сетевую telemetry, указывающую на взаимодействие malware с command-and-control server, размещенным на IP-адресе в Alibaba Cloud. Это усиливает опасения относительно масштабируемого и, вероятно, многократного злоупотребления инфраструктурой.

Хотя исторически PlugX связывали с государственно спонсируемыми actor-ами шпионажа, его source code распространялся на underground forums. Это повышает риск появления различных malicious variants, которые могут использоваться не только для espionage, но и для более широкого спектра атак.

Рекомендации по защите

Чтобы снизить риски заражения, эксперты рекомендуют:

• проверять Startup folder на наличие подозрительных записей;
• использовать надежные anti-malware tools для полной проверки системы;
• не загружать software из неофициальных источников;
• обращать внимание на каталоги и файлы с опечатками в названиях, поскольку это может указывать на заражение;
• применять строгие security measures как организациям, так и частным пользователям.

На фоне роста интереса к AI-сервисам подобные кампании демонстрируют, как злоумышленники адаптируют фишинговые схемы под актуальные бренды, чтобы повысить доверие жертв и скрыть распространение вредоносного ПО.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.