攻擊者仿冒Claude下載網站散布遠端存取木馬PlugX

資安廠商Malwarebytes研究團隊發現一個假網站冒充Claude Pro版下載網頁。不知情的用戶選擇下載後，它會在用戶電腦下載名為Claude-Pro-windows-x64.zip。該壓縮檔包含MSI安裝檔（installer），會以模仿Anthropic Claude下載路徑儲存到拼錯字的C:\Program Files (x86)\Anthropic\Claude\Cluade\資料夾，且在桌面建立名為Claude AI.lnk的假捷徑。

圖片來源／Malwarebytes

假捷徑指向隱藏在暫存資料夾（SquirrelTemp）裡的Claude.vbs，後者實際上是VBScript Dropper（下載器）。當用戶執行捷徑，會觸發VBScript Dropper執行二部份下載。一是安裝並運行正版Claude應用程式，但作用是煙幕彈。同時間它背景偷偷執行側載，釋放惡意DLL檔案，載入RAT（Remote Access Trojan）程式PlugX。為了迴避偵測，VBS腳本在完成任務後自毀，建立一個新的、乾淨的捷徑（Claude.lnk），直接指向真的claude.exe，同時刪除原本有毒的Claude AI.lnk捷徑。

研究人員指出，這是教科書等級的側載攻擊，Lab52於今年2月解析過利用資安業者G DATA的合法執行檔及改造過的DLL檔載入PlugX木馬。

PlugX過去和中國國家駭客有關，但研究人員相信現在已廣泛流向各種駭客社群。一旦進入用戶系統，可能造成駭客截圖竊取資訊、錄影錄音、鍵盤側錄密碼等等監控行為。

Claude現今人氣直追ChatGPT，每月下載次數接近2.9億。面對結合社交工程與進階隱蔽技術的攻擊，研究人員提供了感染指標（IoC），建議用戶檢查啟動資料夾內是否有以下檔案：NOVUpdate.exe、avk.dll或NOVUpdate.exe.dat。並搜尋拼錯字的資料夾C:\Program Files (x86)\Anthropic\Claude\Cluade\是否存在。如果有幾乎可以確定已感染。此外也可檢查防火牆或Proxy紀錄，看是否有連向IP 8.217.190.58的異常對外連線。