Con la creciente popularidad de Claude, la inteligencia artificial de Anthropic, han surgido estafas diseñadas para aprovecharse de su éxito. La más reciente involucra un sitio web que se hace pasar por la página oficial de Claude, pero que en realidad instala malware en ordenadores con Windows. Investigadores de seguridad han detallado esta campaña y advierten a los usuarios que eviten caer en la trampa, ya que esto podría dar acceso a hackers a sus equipos.
Según informes, existe un sitio web que simula ser la página oficial de Claude, empleando una apariencia y tipografía muy similares a las originales. Aunque a primera vista puede parecer legítimo, es una imitación superficial donde la mayoría de los enlaces no funcionan. El único enlace activo, y el que representa un peligro, es el que ofrece la descarga de “Claude-Pro Relay”, promocionado como un servicio de alta velocidad para desarrolladores que utilizan Claude Code.
Al descargar y ejecutar el archivo “Claude-Pro-windows-x64.zip”, el equipo queda infectado. El proceso de instalación coloca tres archivos en la carpeta de inicio de Windows: NOVupdate.exe, NOVupdate.exe.dat y avk.dll. El primer archivo, NOVupdate.exe, es un ejecutable legítimo utilizado para actualizar antivirus de G Data. Los atacantes explotan esta firma legítima para cargar de manera encubierta la DLL maliciosa, una técnica conocida como “DLL hijacking”. Esto permite que el sistema ejecute código dañino bajo la apariencia de un proceso de confianza.
Una vez activa, la DLL maliciosa descifra y ejecuta en memoria el contenido del tercer archivo, que contiene una herramienta de código abierto llamada DonutLoader. Esta, a su vez, despliega un backdoor (puerta trasera) llamado Beagle, el cual se comunica con el servidor controlado por el atacante.
Capacidades del Malware Beagle
Aunque las capacidades del malware Beagle son limitadas, son suficientes para causar daños significativos. Desde el servidor de control, los atacantes pueden ejecutar comandos arbitrarios, subir y descargar archivos, crear y renombrar directorios, listar el contenido del sistema de archivos e incluso desinstalar el agente si lo consideran oportuno. En la práctica, esto se traduce en un acceso remoto casi completo al equipo infectado.
Investigaciones previas han detectado muestras relacionadas con Beagle que fueron enviadas a bases de datos de virus entre febrero y abril de este año. Estas muestras llegaban a los sistemas a través de diversos medios, como ejecutables troyanizados de Microsoft Defender, archivos PDF engañosos o páginas que imitaban actualizaciones de empresas de seguridad. Los investigadores sugieren que los responsables de este ataque podrían ser los mismos detrás de PlugX, una conocida familia de malware, debido a las similitudes en las cadenas de infección.
Para protegerse, es fundamental descargar Claude exclusivamente desde el sitio web oficial: claude.ai. Cuando una aplicación o servicio gana popularidad, los ciberdelincuentes suelen montar publicidad maliciosa en los motores de búsqueda para que sus dominios fraudulentos aparezcan como resultados patrocinados. En estos casos, es recomendable ignorar o filtrar los resultados patrocinados al buscar herramientas de este tipo.
Si sospechas que tu equipo podría estar comprometido, revisa la carpeta de inicio de Windows en busca de los archivos NOVupdate.exe, avk.dll y NOVupdate.exe.dat. La presencia de estos archivos indica que tu PC ha sido víctima de este ataque.
Reescritura y Traducción al Portugués
Título SEO (HTML):
<title>Cuidado com o Claude: Site Falso Instala Malware Perigoso no Seu PC</title>Descripción SEO (HTML):
<meta name="description" content="Um site fraudulento imita o Claude da Anthropic, instalando malware em computadores com Windows. Descubra como se proteger dessa ameaça e o que o software malicioso faz.">Tradução para o Português (dentro de tags body):
<body>
<h1>Cuidado ao usar o Claude: Existe um site falso que instala um malware perigoso no seu computador</h1>
<p>Com a popularidade crescente do <strong>Claude</strong>, era uma questão de tempo até começarmos a ver <strong>golpes que buscam se aproveitar da IA</strong> da Anthropic. O mais recente envolve um site que imita o oficial e que instala <strong>malware</strong> no seu computador com Windows. Pesquisadores da Sophos e Malwarebytes documentaram a campanha em detalhes e alertam os usuários para não caírem na armadilha, pois poderiam abrir a porta para hackers.</p>
<p>De acordo com relatos, existe <strong>um site que se apresenta como se fosse a página oficial do Claude</strong>, com uma paleta de cores e tipografia muito semelhantes às do original. Embora à primeira vista possa passar como autêntico, a realidade é que se trata de <strong>uma imitação bastante tosca</strong> onde os links não levam a lugar nenhum, exceto um. O único botão que funciona, e do qual devemos nos cuidar, é o que <strong>oferece o download do Claude-Pro Relay</strong>, um 'serviço de alta velocidade para desenvolvedores que usam o Claude Code'.</p>
<p>O arquivo <strong>Claude-Pro-windows-x64.zip</strong> contém um instalador que, ao ser executado, deixa o computador infectado imediatamente. O processo deposita três arquivos na pasta de inicialização do Windows: NOVupdate.exe, NOVupdate.exe.dat e avk.dll.</p>
<p>O primeiro é um executável assinado legitimamente, concretamente o atualizador dos antivírus G Data. Os atacantes aproveitam essa assinatura para <strong>carregar de forma oculta a DLL maliciosa</strong>, uma técnica para substituir uma biblioteca legítima por uma versão manipulada. O resultado é que <strong>o sistema executa código prejudicial</strong> sob a aparência de um processo de confiança.</p>
<p>Uma vez dentro, essa DLL descriptografa e executa em memória o conteúdo do terceiro arquivo, que contém um injetor de código aberto chamado DonutLoader. Este, por sua vez, <strong>implanta um backdoor batizado de Beagle</strong>, que se comunica com o servidor do atacante.</p>
<h2>O que o malware do arquivo Claude Pro pode fazer no seu Windows</h2>
<p>As capacidades do Beagle são limitadas, mas suficientes para causar danos reais. A partir do servidor de controle, os atacantes podem <strong>executar comandos arbitrários, fazer upload e download de arquivos, criar e renomear diretórios</strong>, listar o conteúdo do sistema de arquivos e desinstalar o agente se o considerarem necessário. Em termos práticos, isso significa <strong>acesso remoto quase completo ao computador infectado</strong>.</p>
<p>A Sophos <a href="https://www.sophos.com/en-us/blog/donuts-and-beagles-fake-claude-site-spreads-backdoor">descobriu</a> amostras relacionadas ao Beagle enviadas ao VirusTotal entre fevereiro e abril deste ano. Essas amostras chegavam aos sistemas por vias completamente diferentes, como binários do Microsoft Defender troyanizados, arquivos PDF falsos ou <strong>páginas que imitavam as atualizações</strong> de empresas como a CrowdStrike.</p>
<p>Quanto a quem está por trás, os pesquisadores apontam que poderia se tratar dos responsáveis pelo <strong>PlugX, uma conhecida família de malware</strong>. A cadeia de infecção compartilha muitos elementos com campanhas realizadas por esse grupo, embora não haja evidência suficiente para fazer uma atribuição definitiva.</p>
<p>Para se proteger, o mais importante é <strong>baixar o Claude exclusivamente do site claude.ai</strong>. Quando uma aplicação ou serviço se torna popular, os hackers montam publicidade maliciosa em buscadores para que seus domínios apareçam como resultados patrocinados. Neste caso, se alguém buscar por 'Claude', este site aparecerá e poderá surpreender mais de um.</p>
<p>Nesses casos, <strong>também é conveniente ignorar ou filtrar os resultados patrocinados nos buscadores</strong> quando você procura por ferramentas desse tipo. Se você tiver dúvidas sobre se seu computador está comprometido, verifique a pasta de inicialização do Windows e procure pelos arquivos NOVupdate.exe, avk.dll e NOVupdate.exe.dat. Caso estejam lá, seu PC foi vítima de hackers.</p>
</body>