I ricercatori di Sophos hanno individuato un sito fasullo di Claude che ospita la versione Pro del popolare chatbot. Gli utenti, ingannati dal layout simile a quello legittimo, scaricano invece un archivio ZIP che contiene un installer infetto. Viene così copiata sul computer la backdoor Beagle. Gli esperti di Malwarebytes avevano invece rilevato il malware PlugX.
Attenzione ai siti fake di Claude
Il sito fake di Claude usa gli stessi caratteri e colori di quello legittimo, ma il design è più semplice. Viene mostrato tra i link sponsorizzati dei motori di ricerca grazie alla tecnica denominata SEO poisoning. Si tratta di una campagna di malvertising, in quanto le inserzioni pubblicitarie puntano al sito fasullo che ospita il malware.
La presunta versione di Claude Pro per Windows viene offerta tramite un archivio ZIP di circa 505 MB che contiene un installer MSI (Claude.msi). Se avviato copia tre file nella directory di esecuzione automatica: NOVupdate.exe, NOVupdate.exe.dat e avk.dll. Il primo file è un updater dell’antivirus G DATA che carica in memoria la DLL (tecnica DLL sideloading).
Secondo gli esperti di Malwarebytes, al termine della catena di infezione viene installata PlugX, una nota backdoor. I ricercatori di Sophos hanno invece rilevato il loader Donut nel file DAT che carica in memoria Beagle, una backdoor meno complessa che consente di eseguire operazioni su file e directory da remoto.
Beagle comunica con il server C2 (command and control) in forma cifrata (AES) tramite TCP su porta 443 e UDP su porta 8080. Non sono noti gli autori degli attacchi, ma potrebbero essere gli stessi che usano PlugX, considerata la simile catena di infezione. Il consiglio è ovviamente quello di scaricare Claude per Windows solo dal sito ufficiale e non cliccare sui link sponsorizzati (possono essere nascosti con un ad blocker).
Ti potrebbe interessare
10 mag 2026