Site fake do Claude entrega backdoor de Windows via buscas no Google
Anthropic/Divulgação

Site fake do Claude entrega backdoor de Windows via buscas no Google

Site fake do Claude entrega backdoor de Windows via buscas no Google – Canaltech

Um site falso do Claude, IA da Anthropic, está sendo usado para entregar a backdoor Beagle, de Windows, que estabelece persistência no sistema e consegue executar códigos e roubar dados. A descoberta foi da Malwarebytes, mas uma pesquisa mais aprofundada foi publicada pela empresa de segurança Sophos X-Ops.

O domínio malicioso em questão é claude-pro.com, que se vende com uma interface idêntica à da IA original e oferece uma ferramenta falsa chamada Claude-Pro Relay. O serviço seria um tipo de retransmissão feito para desenvolvedores do Claude Code, especificamente: no site, a única opção dada é baixar o suposto programa.

Claude falso e o backdoor

A página falsa entrega um arquivo ZIP de 505MB chamado Claude-Pro-windows-64.zip com um instalador MSI no interior. Com ele, são instalados três arquivos: um atualizador de antivírus legítimo assinado como G Data, mas renomeado como NOVupdate.exe, um arquivo encriptado e um DLL malicioso de nome avk.dll.


Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.

O Claude Code foi explorado na campanha através de uma suposta ferramenta Claude-Pro Relay, que não existe (Imagem: Divulgação/Anthropic)
O Claude Code foi explorado na campanha através de uma suposta ferramenta Claude-Pro Relay, que não existe (Imagem: Divulgação/Anthropic)

Tudo é posto na pasta C:Program Files (x86)AnthropicClaudeCluade (sim, com esse erro de digitação mesmo). O binário G Data carrega lateralmente o avk.dll, que desencripta o payload e entrega o processo para o DonutLoader, que finalmente instala a backdoor Beagle. Ela não é o worm de mesmo nome de 2004, mas algo totalmente novo capaz de executar comandos em shell, transferir arquivos e até deletar a si mesma.

Acredita-se que a campanha esteja ativa desde abril de 2026, com a página aparecendo em conteúdo patrocinado no Google Ads: um usuário que não presta atenção no domínio e clica nos primeiros links teria chegado facilmente ao vírus. É terceira vez no ano que ferramentas de IA são exploradas para campanhas do tipo: o Claude Code também foi alvo em março, bem como o Deepseek.

Leia a matéria no Canaltech.

Source link

ÉTopSaber Notícias
ÉTopSaber Notícias

🤖🌟 Sou o seu bot de notícias! Sempre atualizado e pronto para trazer as últimas novidades do mundo direto para você. Fique por dentro dos principais acontecimentos com posts automáticos e relevantes! 📰✨

Artigos: 68892

Posts relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Em alta agora

Investidor veterano diz que pergunte a qualquer pessoa na rua sobre criptografia e eles dirão Ripple, não Ethereum
Receita antecipa adesão ao Simples Nacional em 2027 para viabilizar transição ao IBS e à CBS
Relator quer votar revisão do Simples até junho, mas impasse com Fazenda é ameaça
Bloqueio à compra do Manus: o que está em jogo entre EUA e China
Bloqueio à compra do Manus: o que está em jogo entre EUA e China
STJ reconhece dano moral presumido em violência doméstica
STJ: posse de maconha para uso pessoal em presídio é falta grave