Автор admin Стрімка популярність Claude — майже 290 мільйонів відвідувань веб-сайту на місяць — зробила його привабливою мішенню для кіберзлочинців. Компанія Malwarebytes виявила, що невідомі хакери створили підроблений сайт, який імітує офіційний ресурс Claude.ai від Anthropic, і використовують його для поширення раніше невідомого бекдора під назвою Beagle, орієнтованого на користувачів Windows. Про це пише Bleeping Computer.
Читайте также: Валерий Залужный Родители Национальность – подробности биографии и карьеры
Скріншот фейкового сайту Claude
Як влаштована пастка
Шкідливий ресурс пропонує завантажити продукт під назвою «Claude-Pro Relay» — нібито «професійний інструмент» для розробників, які працюють з Claude Code. Сайт візуально копіює оригінальний дизайн Claude: схожа колірна схема, шрифти. Однак усі посилання на ньому ведуть лише на головну сторінку. Єдиний активний елемент — велика кнопка завантаження, яка пропонує скачати архів розміром 505 МБ під назвою Claude-Pro-windows-x64.zip із вкладеним MSI-інсталятором.
Що відбувається після встановлення
Якщо жертва запустила інсталятор, він розгортається на комп’ютері у папці C:\Program Files (x86)\Anthropic\Claude\Cluade\ — навмисна імітація легітимної інсталяції Anthropic. Одразу впадає в око орфографічна помилка: замість «Claude» написано «Cluade».
Важливо, що реальний Claude при цьому теж встановлюється. Коли користувач запускає ярлик з робочого стола, у фоновому режимі активується VBScript-дроппер, який паралельно інсталює шкідливе програмне забезпечення.
Скрипт непомітно копіює три файли у папку автозапуску Windows: виконуваний файл NOVUpdate.exe, бібліотеку avk.dll та зашифрований файл даних NOVUpdate.exe.dat. Це класична атака через підміну DLL (DLL sideloading, техніка MITRE T1574.002).
Технічні деталі бекдора Beagle
Згідно з дослідженням Sophos, першим етапом є DonutLoader, який завантажує відносно простий бекдор Beagle з обмеженим набором команд. Цей Beagle не має нічого спільного з однойменним Delphi-хробаком 2004 року.
Бекдор спілкується з командним сервером (C2) за адресою license[.]claude-pro[.]com через TCP-порт 443 та/або UDP-порт 8080, а обмін даними захищений жорстко закодованим AES-ключем. Сервер C2 розміщений на IP-адресі з діапазону Alibaba Cloud.
Читайте также: Виховання чи спадковість? Вчені з’ясували, що саме визначає нашу успішність
Ширший контекст загрози
Подальший аналіз виявив додаткові зразки Beagle, завантажені на VirusTotal між лютим і квітнем 2026 року. Вони використовували різні вектори атаки: підроблені бінарники Microsoft Defender, шелкод AdaptixC2, шкідливі PDF-файли, а також імітацію сторінок оновлень відомих вендорів — CrowdStrike, SentinelOne і Trellix.
Зловмисники також активно ротують інфраструктуру: дослідники зафіксували використання платформи Kingmailer 28 березня 2026 року та перехід на CampaignLark 5 квітня 2026 року для розсилки фішингових листів.
Як захиститися від Beagle
Ознаки зараження: наявність файлів NOVUpdate.exe, avk.dll або NOVUpdate.exe.dat у папці автозапуску; папка C:\Program Files (x86)\Anthropic\Claude\Cluade\ на диску; вихідні з’єднання до IP 8.217.190.58 у журналах фаєрвола.
Якщо щось із переліченого виявлено — негайно відключіться від мережі, проведіть повне сканування системи та змініть паролі до всіх акаунтів, до яких міг бути доступ із ураженої машини. Завантажуйте Claude виключно з офіційного сайту claude.ai та ігноруйте спонсоровані результати у пошукових системах.
Нагадаємо, днями головний розробник Claude Code Борис Черні розповів своє бачення майбутнього без програмістів.
Читайте также: Не ШІ, а реальність. У небі над Індонезією зафіксували рідкісне природне явище
Підписуйтесь на нас у соцмережах: Telegram | Facebook | LinkedIn