Um site falso que imitava o do Claude, inteligência artificial da Anthropic, estava distribuindo um trojan de acesso remoto.

A partir do domínio, os criminosos faziam as vítimas baixarem um arquivo ZIP, que se instalado e executado, funcionava como uma cópia do Claude.

No entanto, em segundo plano, o arquivo instalava uma cadeia de malware Plug X, que concede acesso remoto ao sistema da vítima para os criminosos.

O site falso imita uma página oficial de download da versão “Pro” do Claude, por meio de um arquivo chamado Claude-Pro-windows-x63.

Os registros DNS passivos, banco de dados histórico que registra como os domínios foram mapeados para endereços IP ao longo do tempo, mostram que o site tem uma infraestrutura ativa de envio de e-mails.

Essas mensagens são enviadas por duas plataformas comerciais de e-mail marketing, o Kingmailer e o Campaign Lark.

O arquivo ZIP tem um instalador Microsoft Software Installer (MSI), um formato de pacote do Windows usado para instalar, atualizar ou remover programas, que faz o download em um caminho criado para imitar uma instalação legítima.

O MSI cria um atalho na área de trabalho, que quando clicado pela vítima, executa um dropper em VBScript.

vbs) projetado para baixar, criar ou executar cargas úteis adicionais no computador da vítima.

O que isso faz é localizar o arquivo malicioso e executá-lo em primeiro plano.

Depois disso, o dropper cria um novo atalho na área de trabalho, que faz com que a vítima continue tendo um atalho funcional, enquanto o original se torna inválido.