Sahte Claude AI Sitesi Windows Kullanıcılarına Beagle Arka Kapısını Açıyor Yazılım

Sahte Claude AI Sitesi Windows Kullanıcılarına Beagle Arka Kapısını Açıyor

Anthropic'in Claude web sitesinin hileli bir taklidi, imzalı bir antivirüs güncelleyici ikili dosyasını kötüye kullanan bir Dinamik Bağlantı Kitaplığı...

Anthropic'in Claude web sitesinin hileli bir taklidi, imzalı bir antivirüs güncelleyici ikili dosyasını kötüye kullanan bir Dinamik Bağlantı Kitaplığı (DLL) yandan yükleme zinciri aracılığıyla dağıtılan, daha önce belgelenmemiş Beagle adlı bir arka kapıyı dağıtmak için kullanıldı.

Kötü amaçlı alan adı Claude-pro[.]com, meşru Claude arayüzünün sadeleştirilmiş bir taklidini sunuyor ve Sophos X-Ops tarafından yapılan yeni analize göre, yaklaşık 505 MB ZIP arşivi olarak hizmet veren Claude-Pro Relay adlı hayali bir araç sunuyor.

Araştırmacılar, sitenin aktif bir kötü amaçlı reklam kampanyasının parçası olduğunu değerlendirdi ve barındırma altyapısını Mart 2026'da kurulan bir sunucuya kadar takip etti.

PlugX Stili Zincir Farklı Yük Taşımalarına Yol Açıyor

İndirilen arşiv, kullanıcının başlangıç klasörüne üç dosya bırakan bir MSI yükleyicisi içerir: NOVupdate.exe olarak yeniden adlandırılan imzalı bir G DATA antivirüs güncelleyicisi, şifrelenmiş bir veri dosyası ve avk.dll adlı kötü amaçlı bir DLL. Meşru güncelleyici çalıştırıldığında, kötü amaçlı DLL dosyasını beklenen kitaplığın yerine dışarıdan yükler.

Önemli Gelişmeler

DLL, ters bir XOR anahtarı kullanarak veri dosyasının şifresini çözer ve sonuçta ortaya çıkan kabuk kodunu çalıştırır; bu, açık kaynaklı bir bellek içi yükleyici olan DonutLoader'ı yükler. Donut daha sonra son yük olan Beagle arka kapısını konuşlandırır.

Sophos başlangıçta G DATA imzalı bir ikili dosya, bir avk.dll yan yükü ve şifrelenmiş bir veri dosyasının birleşimi göz önüne alındığında bir PlugX varyantından şüpheleniyordu ve bunların tümü Şubat 2026'daki bir Lab52 raporunda PlugX'e bağlanmıştı.

Nasıl Önlem Alınmalı?

Farklı bir veri yükünün teslim edilmesi, araştırmacıların, tehdit aktörünün yerleşik bir enfeksiyon zincirini yeniden düzenlemiş veya başka bir grup tarafından kullanılanı taklit etmiş olabileceğini düşünmesine yol açtı.

Kötü amaçlı yazılım dağıtan sahte yapay zeka siteleri hakkında daha fazlasını okuyun: Siber suçlular, Infostealer kötü amaçlı yazılımlarını dağıtmak için Kling yapay zekasını taklit ediyor

Sonuç ve Değerlendirme

Beagle Yetenekleri ve Bağlantılı Örnekler

Beagle, kabuk yürütme, dosya aktarımı, dizin listeleme ve kendi kendini kaldırma işlemlerini kapsayan sekiz komutu destekleyen nispeten basit bir arka kapıdır. Lisans[.]claude-pro[.]com adresindeki komut ve kontrol sunucusuyla TCP bağlantı noktası 443 veya UDP bağlantı noktası 8080 üzerinden iletişim kurarak trafiği sabit kodlanmış bir AES anahtarıyla şifreler.

Sophos, VirusTotal'da aynı XOR anahtarını paylaşan ve Şubat 2026'ya kadar uzanan ek örnekler tespit etti. Mart ayındaki bir varyant, son yükü, Sophos'un daha önce fidye yazılımı saldırılarında gözlemlediği açık kaynaklı bir kırmızı ekip çerçevesi olan AdaptixC2'ye bağlı kabuk koduyla değiştirdi. İlgili diğer örneklerde Trellix, CrowdStrike ve SentinelOne için güncelleme gibi görünen alanlar kullanıldı.

Kampanya, Alibaba Cloud'da C2 altyapısını barındırırken Cloudflare aracılığıyla kötü amaçlı yazılım dağıttı; bir ayırma araştırmacısı, kısa ömürlü tek kullanımlık bir kampanya yerine bir dereceye kadar operasyonel sürekliliğin sinyalini verebileceğini söyledi.

Paylaş: