Un sito fake di Claude sta ingannando gli utenti che cercano la versione Pro del celebre chatbot, distribuendo al posto del software legittimo una pericolosa backdoor chiamata Beagle. La scoperta arriva dai ricercatori di Sophos, che hanno analizzato nel dettaglio il meccanismo di infezione. Non si tratta di un caso isolato: anche gli esperti di Malwarebytes avevano individuato attività sospette legate allo stesso schema, rilevando però un malware diverso, noto come PlugX.
Il sito fasullo replica fedelmente l’aspetto della piattaforma ufficiale di Claude, utilizzando gli stessi caratteri e la stessa palette di colori, anche se con un design leggermente più essenziale. La cosa più insidiosa è il modo in cui le vittime ci finiscono sopra: il sito fake di Claude compare tra i link sponsorizzati dei motori di ricerca, sfruttando una tecnica nota come SEO poisoning. In pratica si tratta di una campagna di malvertising, dove le inserzioni pubblicitarie a pagamento indirizzano direttamente verso la pagina infetta.
Come funziona l’infezione e cosa fa la backdoor Beagle
Una volta atterrati sul sito, agli utenti viene proposto il download di una presunta versione di Claude Pro per Windows, confezionata in un archivio ZIP da circa 505 MB. All’interno si trova un installer MSI chiamato Claude.msi che, una volta eseguito, copia tre file nella directory di esecuzione automatica del sistema: NOVupdate.exe, NOVupdate.exe.dat e avk.dll. Il primo file è in realtà un componente legittimo, un updater dell’antivirus G DATA, che viene sfruttato per caricare in memoria la DLL malevola attraverso una tecnica chiamata DLL sideloading.
Da qui le analisi divergono leggermente a seconda del team di sicurezza. Secondo Malwarebytes, la catena di infezione porta all’installazione di PlugX, una backdoor già ampiamente documentata nel panorama delle minacce informatiche. I ricercatori di Sophos, invece, hanno individuato nel file DAT il loader Donut, che a sua volta carica in memoria Beagle. Quest’ultima è una backdoor meno sofisticata rispetto a PlugX, ma comunque capace di eseguire operazioni su file e directory da remoto, il che la rende uno strumento di controllo piuttosto efficace nelle mani di un attaccante.
Comunicazione cifrata e consigli per proteggersi
Beagle comunica con il proprio server C2, ovvero il server di comando e controllo, utilizzando una cifratura AES. Il traffico passa attraverso TCP sulla porta 443 e UDP sulla porta 8080, rendendo la comunicazione più difficile da intercettare. Al momento non sono stati identificati con certezza gli autori dietro questa campagna, anche se il sospetto è che possano essere gli stessi soggetti che utilizzano PlugX, vista la forte somiglianza nella catena di infezione adottata.
Il sito fake di Claude rappresenta un rischio concreto per chiunque cerchi il chatbot sui motori di ricerca senza prestare troppa attenzione ai risultati sponsorizzati. Il suggerimento più immediato resta quello di scaricare Claude per Windows esclusivamente dal sito ufficiale, evitando di cliccare sui link sponsorizzati che compaiono in cima ai risultati di ricerca. Chi volesse un livello di protezione aggiuntivo può valutare l’utilizzo di un ad blocker, che permette di nascondere del tutto le inserzioni pubblicitarie e ridurre il rischio di finire su pagine contraffatte.
