La popolarità di Claude, il chatbot sviluppato da Anthropic, sta attirando non solo milioni di utenti curiosi ma anche i soliti cybercriminali pronti a sfruttare qualsiasi tendenza per i propri scopi. Un falso sito di Claude sta infatti distribuendo malware per Windows, mettendo a rischio chiunque cerchi di scaricare quello che sembra il software ufficiale.
Il meccanismo è subdolo ma, a guardarlo bene, non particolarmente sofisticato. Le vittime finiscono su questo sito fasullo soprattutto attraverso una semplice ricerca web. Analizzando i record MX del dominio, gli esperti di Malwarebytes hanno però scoperto qualcosa di interessante: i cybercriminali potrebbero anche utilizzare piattaforme per l’invio massivo di email, ampliando così il raggio d’azione della truffa. Sul sito compare un pulsante che promette il download della versione Pro per Windows del noto chatbot. Peccato che di ufficiale non ci sia proprio nulla.
Quello che viene scaricato è un archivio ZIP contenente un installer MSI. Una volta eseguito, il programma copia diversi file in una cartella chiamata “Cluade“. Già qui, quell’errore ortografico nel nome dovrebbe far suonare qualche campanello d’allarme. Quando l’utente clicca su un file LNK presente nella cartella, parte la catena di infezione vera e propria. Sullo schermo appare un’applicazione che sembra del tutto legittima, ma nel frattempo, in background, vengono copiati tre file: NOVUpdate.exe, avk.dll e NOVUpdate.exe.dat.
Come funziona l’attacco e perché è così insidioso
Ecco dove la faccenda si fa più tecnica, ma vale la pena capire cosa succede. L’eseguibile NOVUpdate.exe è in realtà il programma di aggiornamento dell’antivirus G DATA, che viene usato in modo fraudolento per caricare la DLL in memoria. Questa tecnica si chiama DLL sideloading ed è particolarmente efficace perché sfrutta un software legittimo per eseguire codice malevolo.
La DLL decifra il payload nascosto nel file DAT, che contiene PlugX, un RAT (Remote Access Trojan) ben noto negli ambienti della sicurezza informatica. I tre file vengono poi copiati nella cartella di esecuzione automatica del sistema, garantendo così la persistenza del malware anche dopo un riavvio. A quel punto il gioco è fatto: il malware stabilisce una connessione TCP con un server remoto, dando ai cybercriminali pieno accesso al computer della vittima.
Come proteggersi dal falso sito di Claude
I ricercatori di Malwarebytes suggeriscono alcuni controlli pratici per chi sospetta di essere stato colpito. Prima di tutto, verificare il nome della cartella di installazione: quel “Cluade” scritto male è un segnale inequivocabile. Poi conviene controllare il contenuto della cartella di esecuzione automatica, cercando la presenza dei tre file sospetti già menzionati.
Come regola generale, gli utenti non dovrebbero mai cliccare su link ricevuti via email né fidarsi di pulsanti su siti dall’aspetto sospetto. Leggere sempre con attenzione l’URL nella barra degli indirizzi resta una delle difese più semplici ed efficaci. Il sito ufficiale di Claude per Windows è claude.ai, e qualsiasi altro dominio che prometta il download del chatbot va trattato con estrema diffidenza.