详细内容或原文请订阅后点击阅览
假 Claude 网站安装恶意软件,使攻击者能够访问您的计算机
我们发现了一个令人信服的假网站,该网站安装木马 Claude 应用程序,同时悄悄部署 PlugX 恶意软件。
来源:Malwarebytes Labs 博客Claude 的快速增长(每月近 2.9 亿次网络访问)使其成为攻击者的有吸引力的目标,而此活动表明了陷入虚假网站是多么容易。
我们发现了一个假网站,冒充 Anthropic 的 Claude 来提供木马安装程序。该域名模仿 Claude 的官方网站,下载 ZIP 存档的访问者会收到 Claude 的副本,该副本可以按预期安装和运行。但在后台,它部署了一个 PlugX 恶意软件链,使攻击者可以远程访问系统。
深入了解活动
该假网站将自己呈现为 Claude“Pro”版本的官方下载页面,并向访问者提供名为 Claude-Pro-windows-x64.zip 的文件。被动 DNS 记录显示该域配备了主动邮件发送基础设施:其 MX 记录指向两个商业批量电子邮件平台 - Kingmailer(上次观察时间为 2026 年 3 月 28 日)和 CampaignLark(观察时间为 2026 年 4 月 5 日)。提供商之间的切换表明运营商积极维护和轮换其发送能力。
ZIP 包含一个 MSI 安装程序,该安装程序安装到 C:\Program Files (x86)\Anthropic\Claude\Cluade\ — 一个旨在模仿合法 Anthropic 安装的路径,并引用了 Squirrel,这是真正基于 Electron 的应用程序(如 Claude)使用的更新框架。拼写错误的“Cluade”是一个明显的危险信号。
安装程序会在桌面上放置一个快捷方式 Claude AI.lnk,指向 SquirrelTemp 目录中的 Claude.vbs。当受害者单击该快捷方式时,它会启动一个 VBScript dropper,它将 claude.exe 定位到 C:\Program Files (x86)\Anthropic\Claude\Cluade\claude.exe 上两个目录,并在前台运行真正的应用程序。
然后,释放器会在桌面上创建一个新的快捷方式 Claude.lnk,直接指向 claude.exe。这给受害者留下了一个继续工作的快捷方式,而原始的 Claude AI.lnk 在 VBScript 删除自身后变成了死链接。