Los actores de amenazas detrás de esta campaña intentan engañar a los usuarios creando un sitio web que se parece mucho al sitio oficial de **Claude**, utilizando colores y fuentes similares. Sin embargo, los investigadores de ciberseguridad de **Sophos** han descubierto que los enlaces en el sitio falso simplemente redirigen a la página de inicio, exponiendo el engaño. ### Descarga Engañosa Los usuarios que caen en el engaño en “claude-pro[.]com” se encuentran con un botón de descarga prominente para un archivo de 505 MB llamado 'Claude-Pro-windows-x64.zip'. Este archivo contiene un instalador MSI que supuestamente es para el producto **Claude-Pro Relay**.  _Fuente: Sophos_ Según **Sophos**, la ejecución del binario resulta en la adición de tres archivos a la carpeta de Inicio: *NOVupdate.exe*, *NOVupdate.exe.dat* y *avk.dll*. ### Conexión PlugX La campaña fue descubierta inicialmente por **Malwarebytes**, cuyos investigadores encontraron que el instalador 'Pro' es una versión troyanizada de **Claude** que funciona como se espera pero implementa silenciosamente una cadena de malware **PlugX**. Esto otorga a los atacantes acceso remoto al sistema comprometido. ### Análisis de la Puerta Trasera Beagle Un análisis posterior de **Sophos** reveló que la carga útil de primera etapa es **DonutLoader**, que recupera una puerta trasera relativamente simple que los investigadores han denominado **Beagle**. Esta puerta trasera tiene un conjunto limitado de comandos: * *uninstall*: desinstala el agente * *cmd*: ejecuta comando * *upload*: sube archivo * *download*: descarga archivo * *mkdir*: crea directorio * *rename*: renombra archivo * *ls*: lista contenido del directorio * *rm*: elimina directorio Es importante tener en cuenta que esta puerta trasera **Beagle** es distinta del gusano **Beagle**/**Bagle** documentado en 2004. *NOVupdate.exe* es un actualizador firmado para las soluciones de seguridad de **G Data**. Los atacantes lo están utilizando para cargar lateralmente el archivo malicioso *avk.dll* y el archivo cifrado *NOVupdate.exe.dat*. **Sophos** señala que la carga lateral de la DLL AVK y un archivo cifrado utilizando un ejecutable firmado por **G Data** se ha relacionado previamente con la actividad de **PlugX**. El rol de la DLL es descifrar y ejecutar la carga útil dentro de *NOVupdate.exe.dat* en memoria. Esta carga útil es el inyector en memoria de código abierto **DonutLoader**. **Sophos** observó previamente **Donut** en ataques dirigidos a organizaciones gubernamentales en el Sudeste Asiático en 2024. En este caso, **Donut** implementa la carga útil final, la puerta trasera **Beagle**, en la memoria del sistema para evadir la detección. ### Comando y Control La puerta trasera se comunica con el servidor de comando y control (C2) en ‘license[.]claude-pro[.]com’ utilizando TCP sobre el puerto 443 y/o UDP sobre el puerto 8080. La comunicación está protegida por una clave AES codificada. **Sophos** señala que el C2 está alojado en 8.217.190[.]58, una dirección IP que los investigadores de **Malwarebytes** han asociado con el servicio **Alibaba-Cloud**. ### Campaña Más Amplia y Mitigación Una investigación adicional de **Sophos** descubrió muestras adicionales relacionadas con **Beagle** enviadas a **VirusTotal** entre febrero y abril. Estas muestras utilizaron la misma clave de descifrado XOR para el descifrado. Sin embargo, estas muestras infectaron máquinas a través de diferentes cadenas de ataque, incluyendo binarios de **Microsoft Defender**, shellcode de AdaptixC2, un PDF señuelo e imitando sitios de actualización de múltiples proveedores de seguridad como **CrowdStrike**, **SentinelOne** y **Trellix**. Si bien **Sophos** no pudo atribuir definitivamente la campaña a un actor de amenazas específico, sugieren que los mismos operadores detrás de **PlugX** podrían estar probando una nueva carga útil. Para mitigar esta amenaza, los usuarios siempre deben descargar **Claude** desde el portal oficial y tener precaución con los resultados de búsqueda patrocinados. La presencia de archivos 'NOVupdate' en un sistema es un fuerte indicador de compromiso.