La crescente popolarità di Claude, dovuta anche allo scontro di Anthropic con il governo statunitense, viene sfruttata dai cybercriminali per le loro attività illecite. Gli utenti che vogliono usare il chatbot rischiano però di finire su siti fasulli che distribuiscono malware.
Malware che consente l’accesso al computer
Le ignare vittime finiscono sul sito fasullo di Claude principalmente dopo una ricerca web. Analizzando i record MX, gli esperti di Malwarebytes hanno però scoperto che i cybercriminali possono utilizzare anche piattaforme per l’invio in massa di email. Sul sito è presente un pulsante che permetterebbe di scaricare la versione Pro per Windows del noto chatbot.
Viene invece distribuito un archivio ZIP che contiene un installer MSI. Se eseguito copia diversi file nella cartella “Cluade” (errore ortografico che dovrebbe subito destare sospetti). Quando l’utente clicca su un file LNK inizia la catena di infezione. Sullo schermo appare l’applicazione legittima, ma in background vengono copiati tre file: NOVUpdate.exe, avk.dll e NOVUpdate.exe.dat.
L’eseguibile è il programma di aggiornamento dell’antivirus G DATA che carica la DLL in memoria (attacco DLL sideloading), Quest’ultima decifra il payload nascosto nel file DAT, ovvero PlugX, un noto RAT (Remote Access Trojan). I tre file vengono copiati nella cartella di esecuzione automatica per la persistenza. Il malware stabilisce quindi una connessione TCP con il server remoto, consentendo ai cybercriminali di accedere al computer.
I ricercatori di Malwarebytes consigliano di verificare il nome della cartella di istallazione e il contenuto della cartella di esecuzione automatica. Gli utenti non devono cliccare su link ricevuti via email e pulsanti su siti sospetti (leggere l’URL). Il sito ufficiale di Claude per Windows è questo.
Ti potrebbe interessare
12 apr 2026