- Un sitio fraudulento (claude-pro(.)com) proporciona un instalador envenenado que descarga las puertas traseras Donutloader y Beagle.
- La operación simula software clod legítimo, posiblemente vinculado a operadores PlugX mediante descarga de DLL.
- Los investigadores advierten sobre anuncios maliciosos y toxicidad SEO, e instan a los usuarios a verificar los enlaces antes de descargarlos.
Si quieres descargar el cliente en la nube en Windows, ten cuidado, porque existen versiones falsas y maliciosas que intentan explotar el interés por nuevos modelos de IA.
Los investigadores de seguridad de Sophos señalaron cómo una supuesta oferta de Claude Pro los llevó a un sitio web “claude-pro(.)com”. El sitio en sí fue creado para parecerse al sitio web oficial legítimo de claude.ai, pero los investigadores determinaron que era falso bastante rápidamente, ya que ninguno de los enlaces o botones del sitio funcionaba, excepto uno para descargar, todos redireccionando a la página de inicio.
Aquellos que no detectaron la estafa y hicieron clic en el botón de descarga terminarían con una versión funcional de Cloud; sin embargo, se utilizó veneno para entregar un actualizador y un archivo DLL. En la forma clásica de descarga de DLL, el actualizador ejecuta la DLL maliciosa que, a su vez, instala un cargador de malware llamado DonutLoader.
Cayendo Beagle
Esta herramienta, a su vez, viene con una “puerta trasera relativamente simple” llamada Beagle, capaz de ejecutar comandos, cargar y descargar archivos, crear directorios, desinstalar agentes y más.
Sophos no pudo atribuir la campaña a ningún actor de amenazas en particular, pero dijo que probablemente fue llevada a cabo por las mismas personas que ejecutan PlugX.
PlugX es un troyano de acceso remoto (RAT) comúnmente utilizado por grupos de amenazas vinculados al estado chino para espiar a las víctimas, robar datos y mantener un acceso constante a los sistemas comprometidos. El malware se describe como altamente adaptable y modular, lo que permite a los atacantes ejecutar comandos, capturar capturas de pantalla, registrar pulsaciones de teclas y moverse lateralmente a través de las redes. Ha estado activo durante más de una década y es una de las RAT de mayor duración.
Los atacantes probablemente planearon publicar anuncios maliciosos y envenenar el SEO para alcanzar su objetivo, así que verifique los enlaces de su motor de búsqueda antes de visitar cualquier sitio web.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréguenos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
