详细内容或原文请订阅后点击阅览
假 Claude AI 安装程序滥用 DLL 侧载来部署 PlugX
假冒 Claude 网站冒充 Anthropic,并使用 DLL 侧载通过 ZIP 下载提供 PlugX RAT。据 Malwarebytes 称,一个冒充 Anthropic 的 Claude 服务的虚假网站被发现传播 PlugX 远程访问木马。该流氓网站利用聊天机器人的受欢迎程度来诱骗用户下载作为“专业版”安装程序提供的 ZIP 存档。 [...]
来源:Security Affairs _恶意软件假 Claude AI 安装程序滥用 DLL 侧载来部署 PlugX
假冒 Claude 网站冒充 Anthropic,并使用 DLL 侧载通过 ZIP 下载提供 PlugX RAT。
据 Malwarebytes 称,一个冒充 Anthropic 的 Claude 服务的虚假网站被发现传播 PlugX 远程访问木马。
流氓网站滥用聊天机器人的受欢迎程度来诱骗用户下载作为“专业版”安装程序提供的 ZIP 存档。该恶意软件使用 DLL 旁加载来执行,然后尝试在感染后清除痕迹,从而降低系统的可见性。
“我们发现了一个冒充 Anthropic 的 Claude 的虚假网站,为木马安装程序提供服务。该域名模仿 Claude 的官方网站,下载 ZIP 存档的访问者会收到 Claude 的副本,该副本会按预期安装和运行。”阅读 Malwarebytes 发布的报告。 “但在后台,它部署了一个 PlugX 恶意软件链,使攻击者可以远程访问系统。”
恶意站点提供带有 MSI 安装程序的 ZIP,该安装程序模仿合法的 Anthropic Claude 安装程序,但存在一些细微缺陷,例如拼写错误的文件夹名称。它会删除一个运行 VBScript 的快捷方式,启动真正的应用程序以避免怀疑,同时默默地执行恶意操作。
在后台,该脚本将三个文件(NOVUpdate.exe、avk.dll 和加密的 .dat 文件)复制到 Windows 启动文件夹中,并以不可见的方式运行可执行文件。这滥用了 DLL 旁加载,使用 G DATA 的合法签名更新程序来加载恶意 DLL。
然后,DLL 解密并执行 .dat 文件中存储的有效负载。
这种三部分结构、签名的可执行文件、木马化 DLL 和加密的有效负载是 PlugX 恶意软件系列的典型特征,通常用于长期的网络间谍活动。
该报告还提供了妥协指标 (IOC)。
在 Twitter 上关注我:@securityaffairs 以及 Facebook 和 Mastodon
皮尔路易吉·帕格尼尼
(SecurityAffairs – 黑客攻击、时事通讯)