Mon, 13 Apr 2026
← VoltarUm site falso da Anthropic Claude distribui um trojan de acesso remoto por meio de um instalador MSI enganoso. O malware é executado silenciosamente ao iniciar o aplicativo legítimo.
Um site se passando por um domínio legítimo do Anthropic Claude foi flagrado servindo um trojan de acesso remoto a seus visitantes, reporta a Malwarebytes. Aproveitando-se da popularidade do Claude, um ator de ameaça criou um site que hospeda um link de download apontando para um arquivo ZIP supostamente contendo uma versão pro do LLM. O arquivo contém um instalador MSI que imita a cadeia de instalação legítima da Anthropic e instala o aplicativo real do Claude. VBScript executa malware em segundo plano ao abrir o app Quando o usuário tenta abrir o aplicativo Claude pelo atalho na área de trabalho criado durante a instalação, um dropper VBScript executa o aplicativo real em primeiro plano enquanto instala o malware em segundo plano, explica a Malwarebytes.
O VBScript deposita três arquivos na pasta de inicialização, incluindo o NOVUpdate.exe, um executável legítimo assinado da G DATA antivírus abusado para DLL sideloading a fim de executar uma variante do malware PlugX. PlugX é um RAT conhecido usado em várias campanhas de espionagem por quase uma década. Conexão com C2 na Alibaba Cloud e ocultação de erros Segundos após ser depositado, o NOVUpdate.exe cria uma conexão TCP com sua infraestrutura de comando e controle na Alibaba Cloud, de acordo com a Malwarebytes. Além de depositar arquivos na pasta de inicialização, o VBScript inicial escreve um arquivo batch para se deletar e deletar o script, ocultando evidências da infecção.
“O script também envolve toda a seção de payload malicioso em uma instrução On Error Resume Next, engolindo silenciosamente quaisquer erros para que falhas na implantação não produzam diálogos de erro visíveis que possam alertar a vítima”, observa a Malwarebytes. Técnica combina sideloading com isca de IA popular A cadeia de infecção foi vista em fevereiro em uma campanha de phishing que usava convites falsos para reunião para infectar vítimas com PlugX, conforme o relatório. Como observa a Malwarebytes, embora o PlugX tenha sido historicamente associado a grupos de espionagem chineses, seu código-fonte foi compartilhado entre atores de ameaça, tornando a atribuição difícil. “O que está claro é que os operadores por trás desta campanha combinaram uma técnica comprovada de sideloading com uma isca oportuna de engenharia social — explorando a popularidade crescente das ferramentas de IA para enganar usuários a executar um instalador trojanizado”, conclui a Malwarebytes.