Prema njihovim nalazima, napadači su napravili lažni sajt koji vizuelno podsjeća na zvaničnu stranicu kompanije Anthropic i na njemu nude navodnu Pro verziju Claude alata za Windows. Korisnici se na taj sajt dovode putem phishing emailova, nakon čega im se nudi preuzimanje ZIP arhive pod nazivom Claude-Pro-windows-x64.zip.
Unutar arhive nalazi se MSI instalater koji kreira prečicu Claude AI.lnk na desktopu. Kada korisnik klikne na nju, pokreće se VBScript koji otvara legitimnu Claude aplikaciju kako bi skrenuo pažnju, dok se u pozadini instalira PlugX malver.
Napadači pritom koriste tehniku poznatu kao DLL sideloading. U lancu infekcije zloupotrebljava se legitimni fajl NOVUpdate.exe kompanije G DATA, uz koji se isporučuju maliciozni avk.dll i dodatni payload fajl NOVUpdate.exe.dat. Kada se legitimni fajl pokrene, on učitava i zlonamjerne komponente, čime napadači dobijaju daljinski pristup kompromitovanom uređaju.
Malwarebytes navodi da PlugX obezbeđuje postojanost tako što se smješta u Windows Startup folder, što mu omogućava automatsko pokretanje pri svakom startovanju sistema. U roku od svega 22 sekunde od instalacije, malver uspostavlja komunikaciju sa komandno-kontrolnim serverom na IP adresi 8.217.190.58 preko porta 443, koristeći Alibaba Cloud infrastrukturu.
Istraživači ističu da je PlugX istorijski povezivan sa špijunskim operacijama koje se dovode u vezu sa kineskom državom, ali napominju da sam alat nije dovoljan za pouzdanu atribuciju jer je njegov kod već kružio na hakerskim forumima.
Jedan od detalja koji otkriva da je riječ o lažnom paketu jeste i pravopisna greška — umjesto Claude, u folderu se pojavljuje naziv Cluade.
Prema istraživačima, napadači su krajem marta koristili Kingmailer, a početkom aprila prešli na CampaignLark za distribuciju phishing poruka.
Stručnjaci upozoravaju da se AI alati sve češće koriste kao mamac u kampanjama širenja malvera i savjetuju korisnicima da softver preuzimaju isključivo iz zvaničnih izvora, u ovom slučaju sa sajta claude.com. Ukoliko se na sistemu pojave fajlovi poput NOVUpdate.exe ili avk.dll u Startup folderu, preporuka je da se uređaj odmah isključi sa interneta i promene lozinke, piše Informacija.
Saznajte sve o najvažnijim vijestima i događajima, pridružite se našoj Viber zajednici ili čitajte na Google News.