Site falso do Claude distribui vírus que permite invasão remota a PCs

Um site falso que imitava o do Claude, inteligência artificial da Anthropic, estava distribuindo um trojan de acesso remoto. A partir do domínio, os criminosos faziam as vítimas baixarem um arquivo ZIP, que se instalado e executado, funcionava como uma cópia do Claude. No entanto, em segundo plano, o arquivo instalava uma cadeia de malware PlugX, que concede acesso remoto ao sistema da vítima para os criminosos. A descoberta é da Malwarebytes Labs. O site falso imita uma página oficial de download da versão “Pro” do Claude, por meio de um arquivo chamado Claude-Pro-windows-x63. zip. Os registros DNS passivos, banco de dados histórico que registra como os domínios foram mapeados para endereços IP ao longo do tempo, mostram que o site tem uma infraestrutura ativa de envio de e-mails. Essas mensagens são enviadas por duas plataformas comerciais de e-mail marketing, o Kingmailer e o CampaignLark. Como funciona o golpeO arquivo ZIP tem um instalador Microsoft Software Installer (MSI), um formato de pacote do Windows usado para instalar, atualizar ou remover programas, que faz o download em um caminho criado para imitar uma instalação legítima. O MSI cria um atalho na área de trabalho, que quando clicado pela vítima, executa um dropper em VBScript.