Поддельный сайт Claude AI распространяет новый бэкдор Beagle: исследователи раскрыли цепочку атак

Интерес злоумышленников к популярным инструментам искусственного интеллекта продолжает расти. На этот объектом подражания стал сервис Claude от компании Anthropic. Исследователи из Sophos X-Ops обнаружили фальшивый сайт claude-pro[.]com, который под видом легитимного программного обеспечения распространяет вредоносное ПО. В отличие от многих подобных кампаний, эта оказалась не просто копией известной схемы с PlugX, а содержала ранее не описанный бэкдор (инструмент скрытого удалённого доступа), получивший название Beagle. Под угрозой находятся прежде всего пользователи, которые ищут инструменты на основе искусственного интеллекта через поисковики и могут попасться на рекламную приманку.

Описание

Внешне поддельный сайт копирует дизайн официального портала Claude: те же шрифты и цветовая гамма. Однако фальшивка выглядит упрощённой: на ней всего несколько ссылок, большинство из которых ведут обратно на главную страницу. Мошенники, вероятно, использовали метод malvertising (вредоносная реклама) и SEO-отравление, чтобы сайт появлялся в выдаче поисковиков или в виде спонсируемой ссылки. Посетителям предлагают скачать "продукт" под названием Claude-Pro Relay. Файл Claude-Pro-windows-x64.zip весит около 505 мегабайт. Внутри архива находится установщик MSI с именем Claude.msi.

После запуска установщик помещает в автозагрузку пользователя три файла: NOVupdate.exe, NOVupdate.exe.dat (зашифрованный файл с данными) и avk.dll. Первый из них, как выяснилось, является подписанным обновлением для антивирусных продуктов G DATA. Когда эта программа запускается, она ищет рядом с собой библиотеку avk.dll. Злоумышленники подменили оригинальную DLL на вредоносную версию. Этот приём называется DLL-подгрузка (DLL sideloading) - легитимный исполняемый файл загружает чужую библиотеку, которая выполняет скрытый код. Подобная техника часто встречается в кампаниях с использованием PlugX - известного семейства вредоносных программ, которое аналитики изучают уже 14 лет. Однако в данном случае финальная полезная нагрузка оказалась не PlugX, а новым бэкдором.

Вредоносная библиотека avk.dll расшифровывает содержимое файла NOVupdate.exe.dat, используя обратный порядок байтов и операцию XOR с жёстко заданным ключом. Затем запускается загрузчик первого этапа - открытый инструмент Donut (также известный как DonutLoader). Он предназначен для выполнения кода непосредственно в памяти, без записи на диск. Исследователи уже сталкивались с Donut ранее, в том числе при расследовании атак на правительственные организации Юго-Восточной Азии. В текущей кампании Donut загружает бэкдор Beagle.

Новый бэкдор обладает довольно простым набором команд: удаление агента, выполнение команд оболочки, загрузка и выгрузка файлов, создание и удаление каталогов, переименование, вывод содержимого директорий. Связь с сервером управления (C2) осуществляется по протоколам TCP (порт 443) или UDP (порт 8080). Домен управления - license[.]claude-pro[.]com. В коде бэкдора обнаружен жёстко заданный ключ AES (beagle_default_secret_key_12345!) и генерация случайного 16-байтового вектора инициализации при каждой передаче пакета. Структура трафика включает длину пакета (для TCP), случайный вектор и зашифрованные данные. Команды от сервера имеют тип 11, а исходящие сообщения от жертвы - тип 10.

Аналитики Sophos X-Ops нашли на VirusTotal несколько других образцов, использующих тот же XOR-ключ. Один из них, от февраля 2026 года, включает легитимную утилиту Microsoft Defender MpCopyAccelerator.exe вместе с вредоносной DLL MpClient.dll. Мартовский образец отличается: он также использует DLL-подгрузку, но включает отвлекающий PDF-файл, а финальная полезная нагрузка оказалась связана с фреймворком AdaptixC2, который ранее применялся при атаках с программами-вымогателями PayoutsKing. Апрельские образцы практически идентичны основному описанному случаю, но один из них использует сервер управления update-trellix[.]com, а также домены update-crowdstrike[.]com и update-sentinelone[.]com на том же IP-адресе - возможно, это часть тематически связанной кампании.

Примечательно, что и сайт распространения, и сервер управления находятся под одним родительским доменом claude-pro[.]com. Такая практика чаще встречается в массовых кампаниях средней сложности. При этом распространение шло через Cloudflare, а сервер управления располагался на Alibaba Cloud - вероятно, для затруднения блокировки. Сама фальшивка не отличалась высоким качеством: на ней мало ссылок, и она не ведёт на настоящий сайт Claude. Однако злоумышленники явно адаптируются к интересу публики к инструментам искусственного интеллекта, используя их как приманку.

Исследователи отмечают, что ранее почти идентичная цепочка заражения с использованием подписанных компонентов G DATA связывалась именно с PlugX. В данном случае финальная нагрузка оказалась другой - это может означать, что злоумышленники переоснастили свои инструменты, заменив один бэкдор на другой, или же скопировали технику другой группы. Повторное использование одного XOR-ключа в разных образцах из разных месяцев говорит о преемственности кодовой базы, а не о разовых атаках.

Для обычных пользователей основной риск - случайная загрузка вредоносного ПО через поддельные сайты, которые рекламируются в поисковиках. Компаниям также стоит обратить внимание на возможное использование DLL-подгрузки в корпоративной среде: легитимные подписанные файлы из антивирусных пакетов могут быть использованы для доставки вредоносного кода. Специалистам по информационной безопасности следует проверять появление новых доменов, имитирующих известные AI-сервисы, и обращать внимание на аномальный сетевой трафик, особенно на нестандартные комбинации TCP и UDP в связке с известными C2-инфраструктурами.