Fałszywa witryna Claude rozprowadza PlugX RAT. Kampania łączy socjotechnikę, MSI i DLL sideloading - Security Bez Tabu

Fałszywa witryna Claude rozprowadza PlugX RAT. Kampania łączy socjotechnikę, MSI i DLL sideloading

Cybersecurity news

Wprowadzenie do problemu / definicja

Cyberprzestępcy coraz częściej wykorzystują rozpoznawalność narzędzi opartych na sztucznej inteligencji do prowadzenia kampanii malware. W opisywanym przypadku fałszywa witryna podszywająca się pod usługę związaną z Claude była używana do dystrybucji PlugX RAT — znanego trojana zdalnego dostępu, który umożliwia atakującym przejęcie kontroli nad systemem ofiary.

Incydent pokazuje, jak skuteczne staje się połączenie socjotechniki z technikami ukrywania złośliwego kodu. Użytkownik widzi pozornie wiarygodny instalator i działającą aplikację, podczas gdy w tle uruchamiany jest łańcuch infekcji zapewniający trwałość i komunikację z infrastrukturą command-and-control.

W skrócie

  • Fałszywa strona podszywała się pod popularne narzędzie AI i oferowała rzekomą wersję „pro”.
  • Ofiara pobierała archiwum ZIP zawierające instalator MSI imitujący legalne wdrożenie aplikacji.
  • Równolegle uruchamiany był skrypt VBScript, który instalował PlugX RAT.
  • Malware wykorzystywało technikę DLL sideloading z użyciem podpisanego pliku wykonywalnego.
  • Zagrożenie utrzymywało trwałość po restarcie i komunikowało się z serwerem C2.

Kontekst / historia

PlugX to rodzina złośliwego oprogramowania obecna w krajobrazie zagrożeń od wielu lat. Historycznie była obserwowana w kampaniach ukierunkowanych i operacjach szpiegowskich, jednak z czasem jej warianty zaczęły pojawiać się także szerzej, co utrudnia jednoznaczną atrybucję. Dziś PlugX pozostaje niebezpiecznym narzędziem zarówno w działaniach sponsorowanych, jak i w typowo cyberprzestępczych kampaniach nastawionych na trwały dostęp do systemu.

Nowa kampania wpisuje się w coraz wyraźniejszy trend nadużywania marek technologicznych oraz tematów związanych z AI. Popularność takich usług zwiększa skuteczność oszustw, ponieważ użytkownicy są bardziej skłonni zaufać instalatorowi, który wygląda profesjonalnie i obiecuje szybki dostęp do modnego narzędzia.

Analiza techniczna

Łańcuch infekcji został zaprojektowany tak, aby maksymalnie ograniczyć podejrzenia. Dostarczany plik zawierał instalator MSI, który naśladował legalny proces instalacji. To istotny element maskowania, ponieważ użytkownik faktycznie otrzymywał działającą aplikację, co zmniejszało szansę na szybkie wykrycie incydentu.

Kluczowy etap rozpoczynał się przy uruchomieniu programu ze skrótu na pulpicie. Zamiast prostego startu aplikacji wykonywany był skrypt VBScript pełniący funkcję droppera. Skrypt uruchamiał prawdziwy program na pierwszym planie, a jednocześnie w tle wdrażał komponenty malware.

Następnie złośliwy łańcuch umieszczał pliki w folderze autostartu. Jednym z nich był podpisany plik NOVUpdate.exe, legalny komponent aktualizatora oprogramowania zabezpieczającego, wykorzystany do DLL sideloading. Taka technika pozwala uruchomić złośliwą bibliotekę DLL w kontekście zaufanego procesu, co utrudnia wykrycie i może osłabić skuteczność mechanizmów opartych wyłącznie na reputacji plików.

Po uruchomieniu komponent inicjował połączenie TCP z infrastrukturą C2 hostowaną w chmurze. To umożliwiało zdalne sterowanie zainfekowaną stacją, pobieranie kolejnych modułów, wykonywanie poleceń oraz potencjalną eksfiltrację danych. Dodatkowo dropper tworzył plik wsadowy usuwający część artefaktów po infekcji, co ograniczało widoczność incydentu i utrudniało analizę śledczą.

W kampanii zastosowano także mechanizmy tłumienia błędów, aby zminimalizować ryzyko pojawienia się komunikatów ostrzegawczych. W praktyce oznacza to, że użytkownik mógł nie zauważyć żadnych oznak kompromitacji mimo aktywnej infekcji działającej w tle.

Konsekwencje / ryzyko

Ryzyko związane z PlugX RAT jest wysokie, ponieważ malware tego typu zapewnia szerokie możliwości zdalnej kontroli nad systemem. W zależności od wariantu atakujący może prowadzić rozpoznanie środowiska, kraść dane, przechwytywać informacje uwierzytelniające, instalować dodatkowe payloady oraz wykorzystywać zainfekowane urządzenie jako punkt wyjścia do dalszych działań w sieci organizacji.

Szczególnie groźny jest sam model dostarczenia zagrożenia. Ofiara otrzymuje bowiem działającą aplikację, więc nie ma oczywistych powodów, by podejrzewać naruszenie. W środowisku firmowym taki schemat może skutecznie ominąć czujność pracowników, zwłaszcza jeśli pobierają oni narzędzia AI poza oficjalnym procesem akceptacji oprogramowania.

Dodatkowym problemem pozostaje użycie podpisanego pliku wykonywalnego oraz techniki DLL sideloading. To połączenie utrudnia detekcję opartą na prostych regułach i zwiększa szansę, że zagrożenie pozostanie aktywne przez dłuższy czas.

Rekomendacje

Organizacje powinny ograniczyć możliwość instalowania oprogramowania z niezatwierdzonych źródeł, szczególnie narzędzi AI, komunikacyjnych i biurowych. Kluczowe znaczenie ma egzekwowanie zasady pobierania aplikacji wyłącznie z oficjalnych kanałów producenta lub z centralnie zarządzanych repozytoriów.

  • Wdrożyć allowlisting aplikacji oraz kontrolę uruchamiania skryptów z katalogów użytkownika.
  • Monitorować tworzenie plików w folderach Startup oraz nietypowe mechanizmy trwałości.
  • Analizować relacje parent-child process po instalacji oprogramowania.
  • Wykrywać przypadki DLL sideloading i ładowania niestandardowych bibliotek przez zaufane procesy.
  • Kontrolować połączenia wychodzące do nietypowej infrastruktury C2 bezpośrednio po instalacji aplikacji.
  • Prowadzić szkolenia użytkowników dotyczące fałszywych stron, reklam i nieoficjalnych wersji „premium”.

W przypadku podejrzenia infekcji należy natychmiast odizolować host, zabezpieczyć artefakty z folderów autostartu, przeanalizować aktywność procesów oraz zweryfikować, czy nie doszło do kradzieży poświadczeń lub ruchu bocznego.

Podsumowanie

Fałszywa witryna podszywająca się pod popularne narzędzie AI została wykorzystana do dystrybucji PlugX RAT w kampanii łączącej wiarygodny instalator, skryptowy dropper i DLL sideloading. To dojrzały technicznie scenariusz ataku, którego skuteczność wynika z dobrego maskowania oraz wykorzystania aktualnych trendów socjotechnicznych.

Dla organizacji jest to wyraźny sygnał ostrzegawczy: kontrola źródeł oprogramowania, monitoring mechanizmów trwałości oraz detekcja nietypowych procesów uruchamianych po instalacji aplikacji powinny pozostać priorytetem operacyjnym.

Źródła

  1. SecurityWeek – Fake Claude Website Distributes PlugX RAT
    https://www.securityweek.com/fake-claude-website-distributes-plugx-rat/
  2. Malwarebytes – Fake Claude AI website installs malware instead of your AI assistant
    https://www.malwarebytes.com/blog/news/2026/04/fake-claude-ai-website-installs-malware-instead-of-your-ai-assistant
  3. MITRE ATT&CK – DLL Side-Loading
    https://attack.mitre.org/techniques/T1574/002/
  4. MITRE ATT&CK – PlugX
    https://attack.mitre.org/software/S0013/
  5. Lab52 – Analiza kampanii wykorzystującej PlugX
    https://lab52.io/blog/