Mon, 13 Apr 2026
← BackA fake Anthropic Claude site distributes a remote access trojan via a deceptive MSI installer. The malware runs silently while launching the legitimate app.
Um site se passando por um domínio legítimo do Anthropic Claude foi flagrado servindo um trojan de acesso remoto a seus visitantes, reporta a Malwarebytes. Aproveitando-se da popularidade do Claude, um ator de ameaça criou um site que hospeda um link de download apontando para um arquivo ZIP supostamente contendo uma versão pro do LLM. O arquivo contém um instalador MSI que imita a cadeia de instalação legítima da Anthropic e instala o aplicativo real do Claude. VBScript executa malware em segundo plano ao abrir o app Quando o usuário tenta abrir o aplicativo Claude pelo atalho na área de trabalho criado durante a instalação, um dropper VBScript executa o aplicativo real em primeiro plano enquanto instala o malware em segundo plano, explica a Malwarebytes.
O VBScript deposita três arquivos na pasta de inicialização, incluindo o NOVUpdate.exe, um executável legítimo assinado da G DATA antivírus abusado para DLL sideloading a fim de executar uma variante do malware PlugX. PlugX é um RAT conhecido usado em várias campanhas de espionagem por quase uma década. Conexão com C2 na Alibaba Cloud e ocultação de erros Segundos após ser depositado, o NOVUpdate.exe cria uma conexão TCP com sua infraestrutura de comando e controle na Alibaba Cloud, de acordo com a Malwarebytes. Além de depositar arquivos na pasta de inicialização, o VBScript inicial escreve um arquivo batch para se deletar e deletar o script, ocultando evidências da infecção.
“O script também envolve toda a seção de payload malicioso em uma instrução On Error Resume Next, engolindo silenciosamente quaisquer erros para que falhas na implantação não produzam diálogos de erro visíveis que possam alertar a vítima”, observa a Malwarebytes. Técnica combina sideloading com isca de IA popular A cadeia de infecção foi vista em fevereiro em uma campanha de phishing que usava convites falsos para reunião para infectar vítimas com PlugX, conforme o relatório. Como observa a Malwarebytes, embora o PlugX tenha sido historicamente associado a grupos de espionagem chineses, seu código-fonte foi compartilhado entre atores de ameaça, tornando a atribuição difícil. “O que está claro é que os operadores por trás desta campanha combinaram uma técnica comprovada de sideloading com uma isca oportuna de engenharia social — explorando a popularidade crescente das ferramentas de IA para enganar usuários a executar um instalador trojanizado”, conclui a Malwarebytes.