Fake Claude AI website delivers new Beagle Windows malware

Campagne de malwares « Beagle » via un faux site Claude AI

Une campagne de cybercriminalité usurpe l’identité du service Claude AI pour diffuser un nouveau logiciel malveillant baptisé Beagle. Les attaquants utilisent un site frauduleux (« claude-pro[.]com ») incitant les utilisateurs à télécharger un prétendu « Claude-Pro Relay », qui dissimule un cheval de Troie.

Points clés :

• Vecteur d’attaque : Téléchargement d’une archive .zip contenant un installeur MSI malveillant.
• Mécanisme d’infection : Utilisation du détournement de DLL (DLL sideloading) via un exécutable légitime signé (un programme de mise à jour G Data) pour charger une DLL malveillante et un chargeur nommé DonutLoader.
• Charge utile : Le backdoor Beagle, exécuté en mémoire pour éviter la détection, permet des commandes à distance (transfert de fichiers, exécution de commandes, gestion de répertoire).
• Communication : Le malware contacte un serveur de commande et contrôle (C2) hébergé sur Alibaba Cloud, chiffré par une clé AES codée en dur.
• Largeur de la menace : Des échantillons liés à cette campagne ont été détectés utilisant d’autres leurres (PDF, faux sites de mise à jour CrowdStrike/SentinelOne) et des vecteurs d’infection variés.

Vulnérabilités :

• Aucune CVE spécifique n’est mentionnée ; la campagne exploite des techniques de sideloading de DLL et d’injection en mémoire pour contourner les protections.

Recommandations :

• Vérification des sources : Télécharger uniquement les logiciels depuis les portails officiels des éditeurs et ignorer les résultats sponsorisés dans les moteurs de recherche.
• Indicateurs de compromission : La présence de fichiers nommés NOVupdate.exe, NOVupdate.exe.dat ou avk.dll dans le dossier de démarrage constitue une preuve irréfutable de compromission.
• Surveillance réseau : Bloquer ou surveiller les connexions vers le domaine license[.]claude-pro[.]com et l’adresse IP 8.217.190.58.

Source