Die hinter dieser Kampagne stehenden Bedrohungsakteure versuchen, Benutzer zu täuschen, indem sie eine Website erstellen, die der offiziellen **Claude**-Website sehr ähnlich sieht und ähnliche Farben und Schriftarten verwendet. Cybersicherheitsforscher von **Sophos** haben jedoch aufgedeckt, dass die Links auf der gefälschten Website lediglich zur Homepage weiterleiten und so den Schwindel entlarven. ### Täuschender Download Benutzer, die auf „claude-pro[.]com“ hereinfallen, sehen einen prominenten Download-Button für ein 505 MB großes Archiv namens 'Claude-Pro-windows-x64.zip'. Dieses Archiv enthält einen MSI-Installer, der angeblich für das **Claude-Pro Relay**-Produkt bestimmt ist.  _Quelle: Sophos_ Laut **Sophos** führt die Ausführung der Binärdatei dazu, dass drei Dateien zum Autostart-Ordner hinzugefügt werden: *NOVupdate.exe*, *NOVupdate.exe.dat* und *avk.dll*. ### PlugX-Verbindung Die Kampagne wurde ursprünglich von **Malwarebytes** entdeckt, deren Forscher feststellten, dass der 'Pro'-Installer eine trojanisierte Version von **Claude** ist, die wie erwartet funktioniert, aber heimlich eine **PlugX**-Malware-Kette bereitstellt. Dies gibt Angreifern Fernzugriff auf das kompromittierte System. ### Beagle-Backdoor-Analyse Weitere Analysen von **Sophos** ergaben, dass die erste Stufe der Payload **DonutLoader** ist, der eine relativ einfache Backdoor abruft, die die Forscher **Beagle** nennen. Diese Backdoor verfügt über eine begrenzte Anzahl von Befehlen: * *uninstall*: Deinstalliert den Agenten * *cmd*: Führt einen Befehl aus * *upload*: Lädt eine Datei hoch * *download*: Lädt eine Datei herunter * *mkdir*: Erstellt ein Verzeichnis * *rename*: Benennt eine Datei um * *ls*: Listet den Verzeichnisinhalt auf * *rm*: Entfernt ein Verzeichnis Es ist wichtig zu beachten, dass diese **Beagle**-Backdoor von dem 2004 dokumentierten **Beagle**/**Bagle**-Wurm zu unterscheiden ist. *NOVupdate.exe* ist ein signierter Updater für **G Data**-Sicherheitslösungen. Die Angreifer nutzen ihn, um die bösartige *avk.dll* und die verschlüsselte Datei *NOVupdate.exe.dat* per Sideloading zu laden. **Sophos** weist darauf hin, dass das Sideloading der AVK DLL und einer verschlüsselten Datei unter Verwendung einer von **G Data** signierten ausführbaren Datei zuvor mit **PlugX**-Aktivitäten in Verbindung gebracht wurde. Die Rolle der DLL besteht darin, die Payload innerhalb von *NOVupdate.exe.dat* im Speicher zu entschlüsseln und auszuführen. Diese Payload ist der Open-Source-In-Memory-Injector **DonutLoader**. **Sophos** beobachtete **Donut** bereits 2024 in Angriffen auf Regierungsorganisationen in Südostasien. In diesem Fall stellt **Donut** die endgültige Payload, die **Beagle**-Backdoor, in den Systemspeicher bereit, um eine Erkennung zu umgehen. ### Command and Control Die Backdoor kommuniziert mit dem Command-and-Control (C2)-Server unter 'license[.]claude-pro[.]com' über TCP auf Port 443 und/oder UDP auf Port 8080. Die Kommunikation wird durch einen fest kodierten AES-Schlüssel geschützt. **Sophos** stellt fest, dass sich der C2 unter der IP-Adresse 8.217.190[.]58 befindet, einer IP-Adresse, die **Malwarebytes**-Forscher mit dem **Alibaba-Cloud**-Dienst in Verbindung gebracht haben. ### Breitere Kampagne und Abwehr Weitere Untersuchungen von **Sophos** deckten zusätzliche Samples im Zusammenhang mit **Beagle** auf, die zwischen Februar und April bei **VirusTotal** eingereicht wurden. Diese Samples verwendeten denselben XOR-Entschlüsselungsschlüssel zur Entschlüsselung. Diese Samples infizierten jedoch Maschinen über verschiedene Angriffsketten, darunter **Microsoft Defender**-Binärdateien, AdaptixC2-Shellcode, eine Lockvogel-PDF-Datei und die Nachahmung von Update-Seiten mehrerer Sicherheitsanbieter wie **CrowdStrike**, **SentinelOne** und **Trellix**. Obwohl **Sophos** die Kampagne keinem bestimmten Bedrohungsakteur eindeutig zuordnen konnte, vermuten sie, dass dieselben Betreiber hinter **PlugX** möglicherweise eine neue Payload testen. Um diese Bedrohung abzuwehren, sollten Benutzer **Claude** immer vom offiziellen Portal herunterladen und bei gesponserten Suchergebnissen vorsichtig sein. Das Vorhandensein von 'NOVupdate'-Dateien auf einem System ist ein starker Indikator für eine Kompromittierung.