Обнаружен поддельный сайт ИИ-помощника Claude, распространяющий троян Beagle для Windows. Сайт claude-pro[.]com имитирует легитимный ресурс Anthropic.
Пользователи скачивают архив с MSI-установщиком, который устанавливает модифицированную версию Claude, но также запускает вредоносное ПО. В автозагрузку добавляются файлы, использующие подписанный установщик G Data для загрузки бэкдора.
Бэкдор Beagle загружается через DonutLoader. Он поддерживает команды: загрузка/скачивание файлов, выполнение команд, управление папками. Связь с сервером через TCP 443 или UDP 8080 с AES-шифрованием. Адрес сервера 8.217.190[.]58 (Alibaba Cloud).
Эти образцы загружались в VirusTotal с февраля по апрель, используют XOR-ключ, но распространяются иначе. Кто стоит за трояном, неизвестно. Beagle не связан с одноименным трояном 2004 года.
0 комментариев