Pratite nas preko RSS-aLažni Claude AI instalater širi PlugX malver na Windows sistemima
Opisi virusa, 16.04.2026, 11:30 AM
Lažni instalater za Claude AI koristi se za širenje PlugX malvera na Windows sistemima, upozoravaju istraživači iz kompanije Malwarebytes.
Prema njihovim nalazima, napadači su napravili lažni sajt koji vizuelno podseća na zvaničnu stranicu kompanije Anthropic i na njemu nude navodnu Pro verziju Claude alata za Windows. Korisnici se na taj sajt dovode putem phishing emailova, nakon čega im se nudi preuzimanje ZIP arhive pod nazivom Claude-Pro-windows-x64.zip.
Unutar arhive nalazi se MSI instalater koji kreira prečicu Claude AI.lnk na desktopu. Kada korisnik klikne na nju, pokreće se VBScript koji otvara legitimnu Claude aplikaciju kako bi skrenuo pažnju, dok se u pozadini instalira PlugX malver.
Napadači pritom koriste tehniku poznatu kao DLL sideloading. U lancu infekcije zloupotrebljava se legitimni fajl NOVUpdate.exe kompanije G DATA, uz koji se isporučuju maliciozni avk.dll i dodatni payload fajl NOVUpdate.exe.dat. Kada se legitimni fajl pokrene, on učitava i zlonamerne komponente, čime napadači dobijaju daljinski pristup kompromitovanom uređaju.
Malwarebytes navodi da PlugX obezbeđuje postojanost tako što se smešta u Windows Startup folder, što mu omogućava automatsko pokretanje pri svakom startovanju sistema. U roku od svega 22 sekunde od instalacije, malver uspostavlja komunikaciju sa komandno-kontrolnim serverom na IP adresi 8.217.190.58 preko porta 443, koristeći Alibaba Cloud infrastrukturu.
Istraživači ističu da je PlugX istorijski povezivan sa špijunskim operacijama koje se dovode u vezu sa kineskom državom, ali napominju da sam alat nije dovoljan za pouzdanu atribuciju jer je njegov kod već kružio na hakerskim forumima.
Jedan od detalja koji otkriva da je reč o lažnom paketu jeste i pravopisna greška — umesto Claude, u folderu se pojavljuje naziv Cluade.
Prema istraživačima, napadači su krajem marta koristili Kingmailer, a početkom aprila prešli na CampaignLark za distribuciju phishing poruka.
Stručnjaci upozoravaju da se AI alati sve češće koriste kao mamac u kampanjama širenja malvera i savetuju korisnicima da softver preuzimaju isključivo iz zvaničnih izvora, u ovom slučaju sa sajta claude.com. Ukoliko se na sistemu pojave fajlovi poput NOVUpdate.exe ili avk.dll u Startup folderu, preporuka je da se uređaj odmah isključi sa interneta i promene lozinke.
Izdvojeno
Lažni Claude AI instalater širi PlugX malver na Windows sistemima
Lažni instalater za Claude AI koristi se za širenje PlugX malvera na Windows sistemima, upozoravaju istraživači iz kompanije Malwarebytes. Prema n... Dalje
Infinity Stealer cilja macOS: lažni CAPTCHA navodi korisnike da sami pokrenu malver
Nova infostealer pod nazivom Infinity Stealer cilja korisnike macOS-a, kombinujući socijalni inženjering i napredne tehnike izbegavanja detekcije. I... Dalje
Tiha oluja: novi kradljivac lozinki Storm menja pravila igre
Istraživači iz Varonisa otkrili su novu varijantu infostealer malvera pod nazivom Storm, koja prikuplja kredencijale pregledača, kolačiće sesije... Dalje
Malver DeepLoad kombinuje ClickFix i AI-generisani kod za izbegavanje detekcije
Nova kampanja malvera, nazvana DeepLoad, kombinuje socijalni inženjering i tehnike izbegavanja generisane veštačkom inteligencijom kako bi kompromi... Dalje
Novi malver Torg Grabber krade podatke iz više od 850 ekstenzija pregledača
Novi infostealer malver nazvan Torg Grabber krade osetljive podatke iz više od 850 ekstenzija pregledača, uključujući više od 700 ekstenzija za k... Dalje
Pratite nas
Nagrade
Prijatelji
