Sahte Claude AI Sitesi Windows Kullanıcılarına Beagle Backdoor'u Bulaştırıyor Yazılım

Sahte Claude AI Sitesi Windows Kullanıcılarına Beagle Backdoor'u Bulaştırıyor

Anthropic'in Claude AI'sini taklit eden sahte bir site, imzalı antivirüs yazılımı ikilisi üzerinden daha önce bilinmeyen Beagle backdoor'unu dağıtıyor

Siber güvenlik araştırmacıları, Anthropic'in yapay zeka asistanı Claude'u taklit eden sahte bir web sitesinin, daha önce belgelenmemiş bir arka kapı olan Beagle'ı yaymak için kullanıldığını tespit etti. Sophos X-Ops tarafından yapılan analize göre, claude-pro[.]com alan adı, orijinal Claude arayüzünün sadeleştirilmiş bir kopyasını sunuyor ve Claude-Pro Relay adında hayali bir araç dağıtıyor. Bu araç, yaklaşık 505 MB boyutunda bir ZIP arşivi olarak indiriliyor. Araştırmacılar, sitenin aktif bir malvertising kampanyasının parçası olduğunu ve altyapının Mart 2026'da kurulan bir sunucuya dayandığını değerlendiriyor.

İndirilen arşiv, bir MSI yükleyici içeriyor. Bu yükleyici, kullanıcının başlangıç klasörüne üç dosya bırakıyor: NOVupdate.exe adında yeniden adlandırılmış imzalı bir G DATA antivirüs güncelleyicisi, şifrelenmiş bir veri dosyası ve avk.dll adında kötü amaçlı bir DLL. Meşru güncelleyici çalıştırıldığında, beklenen kütüphane yerine kötü amaçlı DLL'i yan yüklüyor. DLL, tersine çevrilmiş bir XOR anahtarı kullanarak veri dosyasının şifresini çözüyor ve ortaya çıkan shellcode'u çalıştırıyor. Bu shellcode, açık kaynaklı bir bellek içi yükleyici olan DonutLoader'ı yüklüyor ve ardından Donut, nihai yük olan Beagle backdoor'u devreye sokuyor.

Beagle, sekiz komutu destekleyen nispeten basit bir arka kapıdır: kabuk çalıştırma, dosya aktarımı, dizin listeleme ve kendini silme. Komuta ve kontrol sunucusuyla license[.]claude-pro[.]com üzerinden TCP 443 veya UDP 8080 portlarını kullanarak iletişim kurar ve trafiği sabit kodlanmış bir AES anahtarıyla şifreler. Sophos, VirusTotal'da aynı XOR anahtarını paylaşan ve Şubat 2026'ya kadar uzanan ek örnekler tespit etti. Bir Mart varyantında ise nihai yük, Sophos'un daha önce fidye yazılımı saldırılarında gözlemlediği açık kaynaklı bir kırmızı takım çerçevesi olan AdaptixC2'ye bağlı shellcode ile değiştirilmişti.

Kampanya, kötü amaçlı yazılımı Cloudflare üzerinden dağıtırken C2 altyapısını Alibaba Cloud'da barındırıyor. Araştırmacılar, bu ayrışmanın kaldırma çabalarını zorlaştırabileceğini ve kısa ömürlü tek kullanımlık bir kampanya yerine bir derece operasyonel sürekliliğe işaret ettiğini belirtiyor. Kullanıcıların resmi Claude web sitesini ziyaret ederken dikkatli olmaları ve şüpheli bağlantılardan kaçınmaları öneriliyor.

Paylaş: