Um site falso que imita a página do Claude AI está sendo usado para distribuir um instalador malicioso chamado Claude-Pro Relay, que instala uma backdoor para Windows até então não documentada, batizada de Beagle por pesquisadores da Sophos.

A campanha tenta se aproveitar da popularidade do Claude, modelo de linguagem e assistente de inteligência artificial da Anthropic, para enganar desenvolvedores e usuários interessados em ferramentas relacionadas ao Claude-Code. No site fraudulento, os hackers promovem o suposto Claude-Pro como um “serviço de relay de alta performance desenvolvido especificamente para desenvolvedores Claude-Code”.

A página falsa, hospedada em claude-pro[.]com, tenta reproduzir visualmente o site legítimo, usando cores e fontes semelhantes. Ainda assim, a imitação é relativamente simples. De acordo com a Sophos, os links do site não levam a páginas funcionais e apenas redirecionam o visitante para a página inicial, deixando praticamente uma única ação disponível: clicar em um grande botão de download.

Esse botão baixa um arquivo de 505 MB chamado Claude-Pro-windows-x64.zip, que contém um instalador MSI supostamente relacionado ao produto Claude-Pro Relay. Para usuários que não percebem os sinais de fraude, o arquivo pode parecer uma ferramenta legítima, especialmente por usar a marca Claude e se apresentar como uma solução voltada a desenvolvedores.

Ao executar o binário, o instalador adiciona três arquivos à pasta de inicialização do Windows: NOVupdate.exe, NOVupdate.exe.dat e avk.dll. Essa localização é relevante porque itens colocados na pasta Startup podem ser executados automaticamente quando o usuário inicia a sessão no sistema, funcionando como um mecanismo simples de persistência.

A campanha foi inicialmente identificada pela Malwarebytes. Segundo os pesquisadores da empresa, o instalador “Pro” é uma cópia trojanizada do Claude: a aplicação funciona como esperado, mas executa uma cadeia de malware PlugX em segundo plano, permitindo que os invasores obtenham acesso remoto ao sistema comprometido.

Em uma análise mais aprofundada, a Sophos identificou que o primeiro estágio da infecção envolve o DonutLoader, um injetor em memória de código aberto. Ele é usado para carregar uma backdoor relativamente simples, chamada pelos pesquisadores de Beagle. O malware possui um conjunto limitado de comandos, incluindo desinstalar o agente, executar comandos, enviar e baixar arquivos, criar diretórios, renomear arquivos, listar conteúdo de pastas e remover arquivos.

A Sophos destaca que essa backdoor Beagle não deve ser confundida com o worm Beagle, também conhecido como Bagle, escrito em Delphi e documentado em 2004. Apesar do nome semelhante, trata-se de uma ameaça distinta.

A cadeia de ataque observada explora uma técnica conhecida como DLL sideloading. Nesse caso, o arquivo NOVupdate.exe é um atualizador assinado de soluções de segurança da G Data. Os hackers abusam desse executável legítimo para carregar a DLL maliciosa avk.dll e o arquivo criptografado NOVupdate.exe.dat.

O uso de um executável assinado por um fornecedor legítimo ajuda a dar aparência de confiabilidade à execução e pode dificultar a detecção por algumas soluções de segurança. Segundo a Sophos, o sideloading da DLL AVK junto com um arquivo criptografado por meio de um executável assinado da G Data já foi associado anteriormente a atividades envolvendo PlugX.

Na prática, a função da DLL maliciosa é descriptografar e executar em memória o conteúdo armazenado em NOVupdate.exe.dat. Esse conteúdo é o DonutLoader, que por sua vez carrega a carga final: a backdoor Beagle. A execução em memória é uma técnica comum para reduzir rastros no disco e tentar escapar de mecanismos tradicionais de detecção.

A Sophos afirma já ter observado o DonutLoader em ataques de 2024 contra organizações governamentais no Sudeste Asiático. Nesta campanha, o carregador é usado para implantar o Beagle diretamente na memória do sistema, reforçando a tentativa dos operadores de reduzir a visibilidade da infecção.

Após a instalação, a backdoor se comunica com o servidor de comando e controle, conhecido como C2, em license[.]claude-pro[.]com. A comunicação ocorre por TCP na porta 443 e/ou por UDP na porta 8080. As trocas de dados são protegidas por uma chave AES embutida no malware.

A infraestrutura de C2 foi associada ao endereço IP 8.217.190[.]58. Segundo a Malwarebytes, esse IP pertence a uma faixa relacionada ao serviço Alibaba Cloud. A presença de infraestrutura em provedores de nuvem não é incomum em campanhas maliciosas, já que esses ambientes podem ser usados para hospedar rapidamente servidores de controle, páginas falsas e recursos de distribuição.

A investigação da Sophos também encontrou amostras adicionais relacionadas ao Beagle enviadas ao VirusTotal entre fevereiro e abril deste ano. Essas amostras usavam a mesma chave XOR para descriptografia, sugerindo algum grau de reutilização de componentes ou de infraestrutura pelos responsáveis.

Apesar da relação técnica com Beagle, essas outras amostras chegaram às máquinas por cadeias de ataque diferentes. Entre os elementos observados estavam binários do Microsoft Defender, shellcode do AdaptixC2, um PDF usado como isca e páginas falsas que imitavam sites de atualização de fornecedores de segurança, incluindo CrowdStrike, SentinelOne e Trellix.

Embora a Sophos não tenha atribuído a campanha com confiança a um grupo específico, os pesquisadores levantam a possibilidade de que os mesmos operadores associados ao PlugX estejam experimentando uma nova carga maliciosa. PlugX é uma família de malware historicamente usada em campanhas de acesso remoto e espionagem, frequentemente associada a operações direcionadas.

A recomendação para reduzir o risco é baixar o Claude apenas pelo portal oficial e evitar resultados patrocinados em mecanismos de busca, especialmente quando promovem instaladores, ferramentas auxiliares ou versões “Pro” não verificadas. A Sophos também aponta que a presença de arquivos com o nome NOVupdate em um sistema pode ser um forte indicativo de comprometimento.

Para equipes de segurança, a campanha reforça a necessidade de monitorar execuções suspeitas na pasta Startup, uso anômalo de executáveis assinados, carregamento incomum de DLLs, conexões para domínios recém-criados e comunicação com infraestrutura externa nas portas 443 e 8080. Em ambientes corporativos, controles de allowlist, verificação de origem de instaladores e bloqueio de sites falsos podem ajudar a reduzir a exposição a esse tipo de ameaça.