Os atores de ameaça por trás desta campanha estão tentando enganar os usuários criando um site que se assemelha muito ao site oficial da **Claude**, utilizando cores e fontes semelhantes. No entanto, pesquisadores de segurança cibernética da **Sophos** descobriram que os links no site falso apenas redirecionam para a página inicial, expondo o ardil. ### Download Enganoso Usuários que caem na armadilha em “claude-pro[.]com” são apresentados a um botão de download proeminente para um arquivo de 505MB chamado 'Claude-Pro-windows-x64.zip'. Este arquivo contém um instalador MSI que supostamente é para o produto **Claude-Pro Relay**.  _Fonte: Sophos_ De acordo com a **Sophos**, a execução do binário resulta na adição de três arquivos à pasta Startup: *NOVupdate.exe*, *NOVupdate.exe.dat* e *avk.dll*. ### Conexão PlugX A campanha foi descoberta inicialmente pela **Malwarebytes**, cujos pesquisadores descobriram que o instalador 'Pro' é uma versão trojanizada do **Claude** que funciona como esperado, mas implanta silenciosamente uma cadeia de malware **PlugX**. Isso concede aos atacantes acesso remoto ao sistema comprometido. ### Análise do Backdoor Beagle Análises adicionais pela **Sophos** revelaram que o payload de primeiro estágio é o **DonutLoader**, que busca um backdoor relativamente simples que os pesquisadores nomearam **Beagle**. Este backdoor possui um conjunto limitado de comandos: * *uninstall*: desinstala o agente * *cmd*: executa comando * *upload*: envia arquivo * *download*: baixa arquivo * *mkdir*: cria diretório * *rename*: renomeia arquivo * *ls*: lista conteúdo do diretório * *rm*: remove diretório É importante notar que este backdoor **Beagle** é distinto do worm **Beagle**/**Bagle** documentado em 2004. *NOVupdate.exe* é um atualizador assinado para soluções de segurança da **G Data**. Os atacantes o estão usando para carregar de forma lateral o *avk.dll* malicioso e o arquivo criptografado *NOVupdate.exe.dat*. A **Sophos** aponta que o carregamento lateral da DLL AVK e de um arquivo criptografado usando um executável assinado pela **G Data** foi previamente associado a atividades do **PlugX**. O papel da DLL é descriptografar e executar o payload dentro de *NOVupdate.exe.dat* na memória. Este payload é o injetor de código aberto em memória **DonutLoader**. A **Sophos** observou anteriormente o **Donut** em ataques direcionados a organizações governamentais no Sudeste Asiático em 2024. Neste caso, o **Donut** implanta o payload final, o backdoor **Beagle**, na memória do sistema para evadir a detecção. ### Comando e Controle O backdoor se comunica com o servidor de comando e controle (C2) em ‘license[.]claude-pro[.]com’ usando TCP sobre a porta 443 e/ou UDP sobre a porta 8080. A comunicação é protegida por uma chave AES codificada. A **Sophos** observa que o C2 está hospedado em 8.217.190[.]58, um endereço IP que os pesquisadores da **Malwarebytes** associaram ao serviço **Alibaba-Cloud**. ### Campanha Mais Ampla e Mitigação Investigações adicionais pela **Sophos** descobriram amostras adicionais relacionadas ao **Beagle** enviadas ao **VirusTotal** entre fevereiro e abril. Essas amostras usaram a mesma chave de descriptografia XOR para descriptografia. No entanto, essas amostras infectaram máquinas através de diferentes cadeias de ataque, incluindo binários do **Microsoft Defender**, shellcode AdaptixC2, um PDF de isca e sites de atualização falsos de vários fornecedores de segurança como **CrowdStrike**, **SentinelOne** e **Trellix**. Embora a **Sophos** não tenha conseguido atribuir definitivamente a campanha a um ator de ameaça específico, eles sugerem que os mesmos operadores por trás do **PlugX** podem estar testando um novo payload. Para mitigar essa ameaça, os usuários devem sempre baixar o **Claude** do portal oficial e ter cautela com resultados de pesquisa patrocinados. A presença de arquivos 'NOVupdate' em um sistema é um forte indicador de comprometimento.