Alerta sobre Golpe envolvendo download fraudulento do Claude
Criminosos criaram um site que falsificava o download oficial da versão "Pro" do Claude, uma inteligência artificial da Anthropic, para disseminar um trojan de acesso remoto destinado a espionar usuários e roubar suas credenciais.
O site enganoso utilizava um domínio projetado para fazer as vítimas baixarem um arquivo ZIP. Quando instalado, esse arquivo atuava como uma cópia do Claude, mas em segundo plano, implantava a cadeia de malware PlugX, oferecendo acesso remoto ao sistema afetado. Essa descoberta foi realizada pela Malwarebytes Labs.
O Funcionamento do Golpe
O falso site se assemelhava a uma página oficial de download e oferecia um arquivo chamado Claude-Pro-windows-x63.zip. Análises de registros DNS revelaram que o domínio possuía uma estrutura ativa para envio de e-mails fraudulentos.
Esse site não só apresentava um visual convincente, mas também usava duas plataformas de e-mail marketing para espalhar suas mensagens: Kingmailer e CampaignLark.
O pacote ZIP continha um instalador no formato Microsoft Software Installer (MSI), típicamente utilizado para instalar programas. Uma vez instalado, ele criava um atalho na área de trabalho que, ao ser clicado, executava um script malicioso em VBScript. Esse dropper silenciosamente localizava e executava arquivos maliciosos em segundo plano, enquanto o aplicativo legítimo parecia funcionar normalmente.
A Tática do PlugX
O NOVUpdate.exe, que faz parte da operação, é na verdade um executável legítimo e assinado do antivírus G DATA. No entanto, os invasores substituíram o componente essencial por uma versão maliciosa. Essa técnica, conhecida como DLL sideloading, torna a detecção do malware muito mais difícil.
Assim que o trojan é acionado, ele estabelece conexões com servidores maliciosos, facilitando o controle remoto do dispositivo da vítima. O PlugX é um trojan de acesso remoto que tem sido utilizado em campanhas de espionagem desde 2008.
Desaparecimento dos Vestígios
Uma das características mais preocupantes do dropper é sua capacidade de autoeliminar-se. Após instalar os arquivos maliciosos, ele registra um arquivo batch para apagar seu próprio script, fazendo com que a evidência do crime se perca rapidamente.
Atraindo Vítimas com Iscas Modernas
Os autores combinaram uma técnica já conhecida com a popularidade crescente das ferramentas de IA para atrair usuários a executar um instalador comprometido. Isso revela a exploração de tendências atuais para enganar as pessoas.
Como Proteger-se
Para se proteger desse tipo de golpe, é fundamental sempre baixar o Claude através do site oficial, evitando links em e-mails ou anúncios suspeitos. Mantenha sempre uma solução de segurança atualizada e realize verificações regulares no seu dispositivo. Caso você tenha sido impactado, desconecte sua máquina da internet e verifique a pasta de inicialização em busca dos arquivos NOVUpdate.exe, avk.dll ou NOVUpdate.exe.dat.
Em caso de dúvida, consulte regularmente fontes confiáveis para se manter informado sobre as últimas ameaças e reforços nas práticas de segurança digital.