Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Fałszywe strony podszywające się pod rozpoznawalne usługi sztucznej inteligencji stają się coraz częstszym narzędziem cyberprzestępców. W opisywanej kampanii atakujący wykorzystali markę Claude AI, aby nakłonić użytkowników do pobrania spreparowanego instalatora, który zamiast legalnej aplikacji dostarcza złośliwe oprogramowanie dla systemu Windows.
To zagrożenie łączy socjotechnikę, nadużycie zaufania do popularnych narzędzi AI oraz techniki uruchamiania kodu wyłącznie w pamięci. Taki model działania utrudnia wykrycie infekcji i może opóźnić reakcję zespołów bezpieczeństwa.
W skrócie
Kampania opiera się na fałszywej witrynie imitującej legalny serwis Claude i promującej rzekomy pakiet „Claude-Pro Relay” dla deweloperów. Po pobraniu archiwum ZIP ofiara uruchamia instalator MSI, który inicjuje wieloetapowy łańcuch infekcji prowadzący do wdrożenia backdoora Beagle.
- Ofiara pobiera archiwum ZIP z fałszywej strony.
- Instalator MSI zapisuje pliki wykorzystywane w dalszym etapie ataku.
- Legalnie podpisany komponent uruchamia złośliwą bibliotekę DLL.
- Ładunek jest odszyfrowywany i wykonywany w pamięci.
- Na końcu wdrażany jest backdoor Beagle zapewniający zdalny dostęp do hosta.
Kontekst / historia
Rosnąca popularność narzędzi opartych na dużych modelach językowych sprawiła, że motywy związane ze sztuczną inteligencją stały się skuteczną przynętą w kampaniach malware. Cyberprzestępcy regularnie tworzą domeny przypominające nazwy znanych marek i oferują rzekome wersje „Pro”, „desktop” lub „developer”, licząc na to, że użytkownik nie zweryfikuje źródła oprogramowania.
W tym przypadku analiza wykazała nie tylko fałszywy instalator, ale również obecność wcześniej nieudokumentowanego backdoora nazwanego Beagle. Dodatkowym elementem wyróżniającym kampanię jest wykorzystanie techniki DLL sideloading z użyciem podpisanego komponentu, co zwiększa wiarygodność procesu uruchomienia i pomaga ominąć część mechanizmów ochronnych.
Analiza techniczna
Łańcuch infekcji rozpoczyna się od pobrania dużego archiwum ZIP zawierającego plik MSI. Po jego uruchomieniu w systemie pojawiają się trzy kluczowe artefakty w katalogu autostartu: NOVupdate.exe, NOVupdate.exe.dat oraz avk.dll. Ich obecność stanowi ważny sygnał ostrzegawczy dla analityków bezpieczeństwa.
NOVupdate.exe jest podpisanym plikiem wykonywalnym używanym jako nośnik do sideloadingu. Biblioteka avk.dll odpowiada za odszyfrowanie i uruchomienie zawartości pliku NOVupdate.exe.dat bezpośrednio w pamięci. Zaszyfrowany ładunek zawiera DonutLoader, czyli loader typu in-memory, który uruchamia końcowe złośliwe oprogramowanie bez klasycznej instalacji na dysku.
Ostatnim etapem jest wdrożenie backdoora Beagle. Malware oferuje operatorowi zestaw podstawowych, ale bardzo praktycznych funkcji administracyjnych. Pozwala wykonywać polecenia systemowe, pobierać i wysyłać pliki, tworzyć katalogi, zmieniać nazwy plików, przeglądać zawartość folderów oraz usuwać dane. W praktyce oznacza to pełny kanał operacyjny do dalszej eksploracji środowiska i potencjalnego wdrażania kolejnych narzędzi.
Komunikacja z infrastrukturą sterującą odbywa się przez port 443 oraz 8080, z użyciem zakodowanego na stałe klucza AES. Taki model łączności utrudnia wykrywanie anomalii sieciowych, szczególnie jeśli monitoring nie analizuje kontekstu procesu inicjującego ruch ani zależności między uruchomionymi komponentami.
Konsekwencje / ryzyko
Najpoważniejszą konsekwencją infekcji jest uzyskanie przez atakującego zdalnego dostępu do stacji roboczej z systemem Windows. Taki dostęp może zostać wykorzystany do kradzieży danych, dalszego rozpoznania infrastruktury, przemieszczania się po sieci, instalacji dodatkowych narzędzi post-exploitation, a nawet przygotowania środowiska pod atak ransomware.
Szczególnie wysokie ryzyko dotyczy deweloperów, administratorów i użytkowników pracujących z narzędziami AI. Jeżeli zainfekowany komputer ma dostęp do repozytoriów kodu, poświadczeń chmurowych, tokenów API lub sekretów aplikacyjnych, incydent może szybko wykroczyć poza pojedynczy host i objąć szerszy obszar organizacji.
Ryzyko podnosi także wykorzystanie podpisanego pliku wykonywalnego oraz uruchamianie ładunku w pamięci. Takie techniki mogą ograniczać skuteczność narzędzi koncentrujących się głównie na skanowaniu plików i powodować, że infekcja pozostanie niezauważona przez dłuższy czas.
Rekomendacje
Organizacje powinny przyjąć wielowarstwowe podejście do ograniczania podobnych zagrożeń. Podstawą jest zasada pobierania oprogramowania wyłącznie z oficjalnych źródeł producenta oraz unikanie instalatorów pochodzących z reklam sponsorowanych, podejrzanych wyników wyszukiwania i domen o nazwach przypominających znane marki.
- Monitorować obecność plików
NOVupdate.exe,NOVupdate.exe.datiavk.dll. - Weryfikować nieoczekiwane artefakty w folderach Startup i innych lokalizacjach trwałości.
- Wykrywać uruchamianie podpisanych binariów ładujących nietypowe biblioteki DLL.
- Rozszerzyć detekcje EDR o zachowania związane z wykonywaniem kodu w pamięci.
- Analizować ruch sieciowy na portach 443 i 8080 generowany przez nietypowe procesy.
- Ograniczyć możliwość uruchamiania nieautoryzowanych instalatorów i wdrożyć application control.
- Zmniejszyć liczbę kont z uprawnieniami lokalnego administratora.
Zespoły bezpieczeństwa powinny także uzupełnić procedury reagowania o scenariusze związane z fałszywymi narzędziami AI. Obejmuje to izolację hosta, zabezpieczenie pamięci operacyjnej do analizy, przeszukanie środowiska pod kątem wskaźników kompromitacji oraz rotację poświadczeń używanych na zainfekowanej stacji.
Podsumowanie
Kampania wykorzystująca fałszywą stronę Claude AI pokazuje, jak skuteczną przynętą stały się obecnie narzędzia związane ze sztuczną inteligencją. Z perspektywy technicznej zagrożenie wyróżnia się połączeniem socjotechniki, podpisanych komponentów, DLL sideloading oraz uruchamiania ładunku wyłącznie w pamięci.
Backdoor Beagle nie należy do najbardziej zaawansowanych rodzin malware, ale oferuje wystarczające możliwości, by przejąć kontrolę nad hostem i przygotować kolejne etapy operacji. Dla organizacji kluczowe pozostają kontrola źródeł oprogramowania, detekcja behawioralna oraz szybka identyfikacja artefaktów świadczących o kompromitacji.
Źródła
- BleepingComputer — https://www.bleepingcomputer.com/news/security/fake-claude-ai-website-delivers-new-beagle-windows-malware/
- Sophos X-Ops — https://news.sophos.com/en-us/2026/05/07/fake-claude-ai-site-drops-beagle-backdoor-via-donutloader/
- Malwarebytes Labs — https://www.malwarebytes.com/blog/news/2026/05/fake-claude-ai-installer-leads-to-plugx-malware