Anthropicの正規Claudeドメインになりすましたウェブサイトが、訪問者に対してリモートアクセストロージャンを提供しているのが発見されました(Malwarebytesレポート)。
Claudeの人気に乗じて、脅威行為者はLLMのプロ版を含むと思われるZIPアーカイブへのダウンロードリンクをホストするサイトを作成しました。
このファイルには、正規のAnthropicインストールチェーンを模倣し、実際のClaudeアプリケーションをインストールするMSIインストーラが含まれています。
ただし、ユーザーがインストール中に作成されたデスクトップショートカットからClaudeアプリを起動しようとすると、VBScriptドロッパーが前景でアプリを実行する一方で、バックグラウンドでマルウェアをインストールします(Malwarebytes 詳細)。
VBScriptは起動フォルダに3つのファイルを配置します。これにはNOVUpdate.exeが含まれており、署名付きG DATAアンチウイルス更新プログラムがDLLサイドローディング乱用されて、PlugXマルウェア亜種を実行します。
PlugXは、ほぼ10年間にわたってさまざまなスパイキャンペーンで使用されている既知のリモートアクセストロージャン(RAT)です。
配置されてから数秒以内に、NOVUpdate.exeはAlibaba Cloud上のコマンドアンドコントロール(C&C)インフラストラクチャへのTCP接続を作成します。
起動フォルダにファイルを配置することに加えて、最初のVBScriptはそれ自体とスクリプトを削除するバッチファイルを書き込み、感染の痕跡を隠します。
起動フォルダ内のサイドローディングファイルとNOVUpdate.exeプロセスは、感染したシステムに残される唯一のアーティファクトです。
「スクリプトはまた、悪意のあるペイロード全体をOn Error Resume Nextステートメントでラップして、デプロイメントの失敗が被害者を警告する可能性のある目に見えるエラーダイアログを生成しないように、エラーを黙って無視します。」とMalwarebytesは指摘しています。
この感染チェーンは2月に見られ、偽のミーティング招待状を使用して受信者をPlugXマルウェアに感染させるフィッシングキャンペーンでした。
Malwarebytesが指摘しているように、PlugXは歴史的には中国のスパイグループと関連付けられていますが、そのソースコードは脅威行為者の間で共有されており、帰属が困難になっています。
「明らかなことは、このキャンペーンの背後にいるオペレーターが、実証済みのサイドローディング技術とタイムリーなソーシャルエンジニアリングの罠を組み合わせており、AIツールの急速な人気を利用してユーザーをトロージャン化されたインストーラーを実行するようにだましていることです。」とMalwarebytesは指摘しています。
翻訳元: https://www.securityweek.com/fake-claude-website-distributes-plugx-rat/
