このキャンペーンの背後にいる脅威アクターは、公式の**Claude**サイトと類似した色やフォントを使用し、ユーザーを欺こうとしています。しかし、**Sophos**のサイバーセキュリティ研究者によると、偽サイトのリンクはホームページにリダイレクトされるだけで、その欺瞞が露呈しています。 ### 欺瞞的なダウンロード “claude-pro[.]com”で欺瞞に引っかかったユーザーは、「Claude-Pro-windows-x64.zip」という名前の505MBのアーカイブの目立つダウンロードボタンが表示されます。このアーカイブには、**Claude-Pro Relay**製品用のMSIインストーラーが含まれています。  _出典: Sophos_ **Sophos**によると、バイナリを実行すると、スタートアップフォルダに3つのファイル（*NOVupdate.exe*、*NOVupdate.exe.dat*、*avk.dll*）が追加されます。 ### PlugXとの関連 このキャンペーンは、**Malwarebytes**によって最初に発見されました。同社の研究者は、「Pro」インストーラーが**Claude**のトロイの木馬化されたバージョンであり、期待通りに機能する一方で、**PlugX**マルウェアチェーンを静かに展開することを発見しました。これにより、攻撃者は侵害されたシステムへのリモートアクセスが可能になります。 ### Beagleバックドアの分析 **Sophos**によるさらなる分析により、第一段階のペイロードは**DonutLoader**であり、研究者が**Beagle**と名付けた比較的シンプルなバックドアを取得することが明らかになりました。このバックドアには、以下の限られたコマンドセットがあります。 * *uninstall*: エージェントをアンインストール * *cmd*: コマンドを実行 * *upload*: ファイルをアップロード * *download*: ファイルをダウンロード * *mkdir*: ディレクトリを作成 * *rename*: ファイル名を変更 * *ls*: ディレクトリの内容を一覧表示 * *rm*: ディレクトリを削除 なお、この**Beagle**バックドアは、2004年に文書化された**Beagle**/**Bagle**ワームとは異なります。 *NOVupdate.exe*は、**G Data**セキュリティソリューションの署名付きアップデーターです。攻撃者はこれを使用して、悪意のある*avk.dll*ファイルと暗号化された*NOVupdate.exe.dat*ファイルをサイドロードしています。 **Sophos**は、**G Data**署名付き実行可能ファイルを使用したAVK DLLおよび暗号化ファイルのサイドローディングが、以前に**PlugX**アクティビティに関連付けられていることを指摘しています。 DLLの役割は、*NOVupdate.exe.dat*内のペイロードをメモリ内で復号化して実行することです。このペイロードは、オープンソースのインメモリインジェクターである**DonutLoader**です。**Sophos**は以前、2024年に東南アジアの政府機関を標的とした攻撃で**Donut**を観測しています。 この場合、**Donut**は最終的なペイロードである**Beagle**バックドアをシステムメモリに展開し、検出を回避します。 ### コマンド＆コントロール バックドアは、TCP（ポート443）および/またはUDP（ポート8080）を使用して、「license[.]claude-pro[.]com」のコマンド＆コントロール（C2）サーバーと通信します。通信はハードコードされたAESキーによって保護されています。 **Sophos**は、C2が8.217.190[.]58でホストされており、このIPアドレスは**Malwarebytes**の研究者が**Alibaba-Cloud**サービスに関連付けていることを指摘しています。 ### より広範なキャンペーンと緩和策 **Sophos**によるさらなる調査により、2月から4月の間に**VirusTotal**に送信された**Beagle**に関連する追加のサンプルが発見されました。これらのサンプルは、復号化に同じXOR復号化キーを使用しています。 しかし、これらのサンプルは、**Microsoft Defender**バイナリ、AdaptixC2シェルコード、偽のPDF、および**CrowdStrike**、**SentinelOne**、**Trellix**などの複数のセキュリティベンダーのアップデートサイトを装うなど、異なる攻撃チェーンを通じてマシンに感染していました。 **Sophos**はキャンペーンを特定の脅威アクターに確実に帰属させることはできませんでしたが、**PlugX**の背後にいる同じオペレーターが新しいペイロードをテストしている可能性があると示唆しています。 この脅威を緩和するために、ユーザーは常に公式ポータルから**Claude**をダウンロードし、スポンサー付き検索結果には注意する必要があります。「NOVupdate」ファイルがシステムに存在することは、侵害の強力な兆候です。