Les acteurs de la menace derrière cette campagne tentent de tromper les utilisateurs en créant un site web qui ressemble étroitement au site officiel **Claude**, en utilisant des couleurs et des polices similaires. Cependant, les chercheurs en cybersécurité de **Sophos** ont découvert que les liens sur le faux site redirigent simplement vers la page d'accueil, révélant ainsi la supercherie. ### Téléchargement trompeur Les utilisateurs qui tombent dans le piège sur « claude-pro[.]com » se voient présenter un bouton de téléchargement proéminent pour une archive de 505 Mo nommée 'Claude-Pro-windows-x64.zip'. Cette archive contient un installateur MSI censé être pour le produit **Claude-Pro Relay**.  _Source : Sophos_ Selon **Sophos**, l'exécution du binaire entraîne l'ajout de trois fichiers dans le dossier Startup : *NOVupdate.exe*, *NOVupdate.exe.dat* et *avk.dll*. ### Connexion PlugX La campagne a été initialement découverte par **Malwarebytes**, dont les chercheurs ont constaté que l'installateur 'Pro' est une version trojanisée de **Claude** qui fonctionne comme prévu mais déploie silencieusement une chaîne de malware **PlugX**. Cela donne aux attaquants un accès à distance au système compromis. ### Analyse de la porte dérobée Beagle Une analyse plus approfondie par **Sophos** a révélé que la charge utile de premier stade est **DonutLoader**, qui récupère une porte dérobée relativement simple que les chercheurs ont nommée **Beagle**. Cette porte dérobée dispose d'un ensemble limité de commandes : * *uninstall* : désinstalle l'agent * *cmd* : exécute une commande * *upload* : télécharge un fichier * *download* : télécharge un fichier * *mkdir* : crée un répertoire * *rename* : renomme un fichier * *ls* : liste le contenu d'un répertoire * *rm* : supprime un répertoire Il est important de noter que cette porte dérobée **Beagle** est distincte du ver **Beagle**/**Bagle** documenté en 2004. *NOVupdate.exe* est un programme de mise à jour signé pour les solutions de sécurité **G Data**. Les attaquants l'utilisent pour charger de manière latérale le fichier malveillant *avk.dll* et le fichier chiffré *NOVupdate.exe.dat*. **Sophos** souligne que le chargement latéral de la DLL AVK et d'un fichier chiffré à l'aide d'un exécutable signé **G Data** a déjà été lié à des activités **PlugX**. Le rôle de la DLL est de déchiffrer et d'exécuter la charge utile contenue dans *NOVupdate.exe.dat* en mémoire. Cette charge utile est l'injecteur en mémoire open-source **DonutLoader**. **Sophos** a déjà observé **Donut** dans des attaques visant des organisations gouvernementales en Asie du Sud-Est en 2024. Dans ce cas, **Donut** déploie la charge utile finale, la porte dérobée **Beagle**, dans la mémoire du système pour échapper à la détection. ### Commande et Contrôle La porte dérobée communique avec le serveur de commande et de contrôle (C2) à l'adresse ‘license[.]claude-pro[.]com’ en utilisant TCP sur le port 443 et/ou UDP sur le port 8080. La communication est protégée par une clé AES codée en dur. **Sophos** note que le C2 est hébergé à l'adresse IP 8.217.190[.]58, une adresse IP que les chercheurs de **Malwarebytes** ont associée au service **Alibaba-Cloud**. ### Campagne plus large et atténuation Une enquête plus approfondie par **Sophos** a révélé des échantillons supplémentaires liés à **Beagle** soumis à **VirusTotal** entre février et avril. Ces échantillons utilisaient la même clé de déchiffrement XOR pour le déchiffrement. Cependant, ces échantillons ont infecté des machines via différentes chaînes d'attaque, notamment des binaires **Microsoft Defender**, du shellcode AdaptixC2, un PDF leurre, et en usurpant l'identité de sites de mise à jour de plusieurs fournisseurs de sécurité tels que **CrowdStrike**, **SentinelOne** et **Trellix**. Bien que **Sophos** n'ait pas pu attribuer définitivement la campagne à un acteur de menace spécifique, ils suggèrent que les mêmes opérateurs derrière **PlugX** pourraient tester une nouvelle charge utile. Pour atténuer cette menace, les utilisateurs doivent toujours télécharger **Claude** depuis le portail officiel et faire preuve de prudence avec les résultats de recherche sponsorisés. La présence de fichiers 'NOVupdate' sur un système est un fort indicateur de compromission.