Site Falso do Claude Entrega Backdoor de Windows via Buscas no Google

Um site falso do Claude, IA da Anthropic, está sendo utilizado para entregar a backdoor Beagle, de Windows, que estabelece persistência no sistema e consegue executar códigos e roubar dados. A descoberta foi feita pela Malwarebytes, mas uma pesquisa mais aprofundada foi publicada pela empresa de segurança Sophos X-Ops.

O domínio malicioso em questão é claude-pro.com, que se vende com uma interface idêntica à da IA original e oferece uma ferramenta falsa chamada Claude-Pro Relay. O serviço seria um tipo de retransmissão feito para desenvolvedores do Claude Code, especificamente: no site, a única opção dada é baixar o suposto programa.

Como Funciona o Ataque

A página falsa entrega um arquivo ZIP de 505MB chamado Claude-Pro-windows-64.zip com um instalador MSI no interior. Com ele, são instalados três arquivos: um atualizador de antivírus legítimo assinado como G Data, mas renomeado como NOVupdate.exe, um arquivo encriptado e um DLL malicioso de nome avk.dll.

• O binário G Data carrega lateralmente o avk.dll, que desencripta o payload e entrega o processo para o DonutLoader.
• O DonutLoader finalmente instala a backdoor Beagle, que é capaz de executar comandos em shell, transferir arquivos e até deletar a si mesma.

Acredita-se que a campanha esteja ativa desde abril de 2026, com a página aparecendo em conteúdo patrocinado no Google Ads. Um usuário que não presta atenção no domínio e clica nos primeiros links teria chegado facilmente ao vírus.

É a terceira vez no ano que ferramentas de IA são exploradas para campanhas do tipo: o Claude Code também foi alvo em março, bem como o Deepseek. É importante estar atento e tomar medidas de segurança para evitar esse tipo de ataque.

Este conteúdo pode conter links de compra.

Fonte: link