Fałszywy instalator Claude rozprzestrzenia PlugX przez DLL sideloading

securitybeztabu.pl 4 godzin temu

Wprowadzenie do problemu / definicja

Cyberprzestępcy coraz częściej wykorzystują rozpoznawalność narzędzi opartych na sztucznej inteligencji jako przynętę w kampaniach malware. W opisywanym przypadku fałszywa strona podszywająca się pod usługę Claude dystrybuuje trojanizowany instalator dla systemu Windows, który poza uruchomieniem pozornie legalnej aplikacji wdraża również zdalnego trojana PlugX.

Kluczową techniką używaną w tym łańcuchu infekcji jest DLL sideloading, czyli uruchomienie złośliwej biblioteki DLL przez legalny, podpisany plik wykonywalny. Taki mechanizm pozwala atakującym ukryć adekwatny kod malware w zaufanym kontekście procesu i utrudnić wykrycie incydentu.

W skrócie

Atak rozpoczyna się od socjotechniki i fałszywej oferty pobrania rzekomej „wersji Pro” Claude dla Windows. Ofiara otrzymuje archiwum ZIP zawierające instalator MSI, który tworzy wrażenie poprawnej instalacji programu, jednocześnie uruchamiając w tle wieloetapowy mechanizm infekcji.

  • użytkownik pobiera spreparowane archiwum ZIP z instalatorem MSI,
  • na pulpicie tworzony jest skrót uruchamiający skrypt VBScript,
  • skrypt startuje aplikację-wabik i równolegle inicjuje wdrożenie malware,
  • do folderu autostartu kopiowane są pliki wykorzystywane do persistence i uruchomienia PlugX.

Kontekst / historia

PlugX to dobrze znana rodzina zdalnych trojanów administracyjnych, od lat obserwowana w kampaniach szpiegowskich i ukierunkowanych operacjach intruzyjnych. Malware tego typu bywał historycznie łączony z działaniami cyberwywiadowczymi, ale z czasem jego warianty zaczęły pojawiać się także w szerszych kampaniach wykorzystujących podobne schematy infekcji.

Obecna kampania wpisuje się w wyraźny trend nadużywania popularnych marek i usług AI. Zamiast podszywania się pod aktualizacje przeglądarek, pakietów biurowych czy narzędzi systemowych, operatorzy wykorzystują zainteresowanie aplikacjami AI, licząc na to, iż użytkownik szybciej zaufa stronie pobierania i zignoruje sygnały ostrzegawcze.

Istotne jest również to, iż sam techniczny model wdrożenia nie jest całkowicie nowy. W przeszłości dokumentowano podobne scenariusze użycia legalnego komponentu, złośliwej biblioteki DLL i zaszyfrowanego ładunku, co sugeruje ponowne użycie sprawdzonego łańcucha z nową przynętą tematyczną.

Analiza techniczna

Łańcuch ataku rozpoczyna się od fałszywej strony, z której pobierane jest archiwum o nazwie zbliżonej do legalnego instalatora Claude dla Windows. Wewnątrz znajduje się pakiet MSI tworzący strukturę katalogów przypominającą prawdziwą instalację aplikacji. Jednym z potencjalnych wskaźników kompromitacji jest literówka w ścieżce instalacyjnej, sugerująca manualnie przygotowany pakiet podszywający się pod legalne oprogramowanie.

Po instalacji na pulpicie pojawia się skrót, który nie uruchamia bezpośrednio głównego pliku programu, ale skrypt VBScript. Po jego wykonaniu użytkownik widzi działającą aplikację, co obniża prawdopodobieństwo szybkiego wykrycia incydentu. W tle skrypt realizuje jednak kolejne etapy wdrożenia złośliwego oprogramowania.

Dropper kopiuje do folderu autostartu trzy najważniejsze pliki:

Plik NOVUpdate.exe jest legalnie podpisanym komponentem aktualizacyjnym pochodzącym z systemu bezpieczeństwa. W normalnych warunkach binarium ładowałoby bibliotekę DLL z oczekiwanej lokalizacji, jednak w tym przypadku atakujący podstawiają złośliwy plik avk.dll w tym samym katalogu. To właśnie prowadzi do wykonania kodu malware w zaufanym procesie i stanowi klasyczny przykład DLL sideloading.

Złośliwa biblioteka odpowiada następnie za odszyfrowanie i uruchomienie ładunku ukrytego w pliku NOVUpdate.exe.dat. Taki model — legalny plik EXE, trojanizowana biblioteka DLL i zaszyfrowany payload — jest charakterystyczny dla wielu wariantów PlugX i znacząco utrudnia zarówno analizę statyczną, jak i detekcję opartą wyłącznie na reputacji uruchamianego procesu.

Zaobserwowano również szybkie przejście do komunikacji sieciowej. Krótko po uruchomieniu komponentu wykonywane jest połączenie wychodzące do zewnętrznego adresu IP przez port 443, co wskazuje na próbę ustanowienia kanału command-and-control. Dodatkowo malware modyfikuje wybrane ustawienia rejestru związane z konfiguracją TCP/IP, co może przygotowywać środowisko do dalszych działań operatora.

Na uwagę zasługuje także prosty mechanizm anti-forensics. Skrypt VBScript tworzy plik wsadowy odpowiedzialny za opóźnione usunięcie części artefaktów, w tym samego skryptu i pliku pomocniczego. W efekcie po kilku sekundach główny dropper znika z dysku, pozostawiając ograniczoną liczbę łatwo dostępnych śladów.

Konsekwencje / ryzyko

Najważniejszym skutkiem udanej infekcji jest uzyskanie przez operatora zdalnego dostępu do stacji roboczej. PlugX jako RAT może wspierać wykonywanie poleceń, rekonesans środowiska, utrzymywanie trwałości, pobieranie dodatkowych ładunków oraz potencjalną kradzież danych i poświadczeń.

Z perspektywy organizacji szczególnie niebezpieczne jest to, iż użytkownik otrzymuje działającą aplikację-wabik. Incydent może więc przez dłuższy czas pozostawać niezauważony, a wykorzystanie podpisanego komponentu jako hosta dla złośliwej DLL może dodatkowo utrudniać analizę i generować błędne poczucie bezpieczeństwa.

Ryzyko operacyjne rośnie również dlatego, iż malware utrzymuje swoje elementy w folderze autostartu, zwiększając szansę na ponowne uruchomienie po restarcie systemu. Dla zespołów SOC i DFIR problemem jest ograniczona liczba artefaktów po stronie hosta, co wydłuża triage i zwiększa znaczenie telemetrii EDR, analizy ścieżek startowych oraz korelacji z ruchem sieciowym.

Rekomendacje

W odpowiedzi na tego typu kampanie organizacje powinny połączyć działania prewencyjne, kontrolne i detekcyjne. Szczególnie ważne jest ograniczenie możliwości instalowania systemu spoza zatwierdzonych źródeł oraz monitorowanie nietypowych relacji procesów i ścieżek uruchomieniowych.

  • wdrożyć allowlisting aplikacji i ograniczyć pobieranie systemu z nieoficjalnych źródeł,
  • blokować lub ściśle monitorować uruchamianie VBScript oraz innych interpreterów skryptowych tam, gdzie nie są wymagane biznesowo,
  • kontrolować foldery autostartu pod kątem nieoczekiwanych plików EXE, DLL i plików danych,
  • tworzyć reguły detekcyjne dla przypadków ładowania bibliotek DLL przez legalne aplikacje spoza standardowych katalogów producenta,
  • analizować nietypowe sekwencje procesów, zwłaszcza uruchomienie wscript.exe, a następnie start podpisanego binarium z niestandardowej lokalizacji,
  • monitorować połączenia wychodzące do nieznanych adresów IP przez port 443, szczególnie bezpośrednio po instalacji nowego oprogramowania,
  • regularnie szkolić użytkowników z rozpoznawania fałszywych stron pobierania i nieoficjalnych instalatorów narzędzi AI.

Na etapie reagowania warto sprawdzić obecność plików NOVUpdate.exe, avk.dll i NOVUpdate.exe.dat w folderze Startup oraz zweryfikować nietypowe ścieżki instalacji aplikacji Claude. W przypadku potwierdzenia wskaźników kompromitacji zalecane jest natychmiastowe odizolowanie hosta, analiza pamięci, przegląd logów proxy i firewalli oraz rotacja poświadczeń używanych na potencjalnie zainfekowanym systemie.

Podsumowanie

Opisana kampania pokazuje, iż popularność narzędzi AI stała się skutecznym wektorem socjotechnicznym dla operatorów malware. Wystarczy wiarygodna strona pobierania, działająca aplikacja-wabik i sprawdzony mechanizm DLL sideloading, aby doprowadzić do wdrożenia zaawansowanego trojana zdalnego dostępu.

Z technicznego punktu widzenia przypadek jest istotny, ponieważ łączy kilka skutecznych elementów: legalnie podpisany komponent, złośliwą bibliotekę DLL, zaszyfrowany payload oraz samousuwający się dropper. Dla zespołów bezpieczeństwa to wyraźny sygnał, iż proces instalacji popularnych aplikacji użytkowych — zwłaszcza tych związanych z AI — powinien być objęty równie ścisłym nadzorem jak klasyczne wektory phishingu i malware.

Źródła

  • Security Affairs – Fake Claude AI installer abuses DLL sideloading to deploy PlugX — https://securityaffairs.com/190754/malware/fake-claude-ai-installer-abuses-dll-sideloading-to-deploy-plugx.html
  • Malwarebytes – Fake Claude site installs malware that gives attackers access to your computer — https://www.malwarebytes.com/blog/scams/2026/04/fake-claude-site-installs-malware-that-gives-attackers-access-to-your-computer
  • MITRE ATT&CK – Hijack Execution Flow: DLL Side-Loading — https://attack.mitre.org/techniques/T1574/001/
  • LAB52 – PlugX Meeting Invitation via MSBuild and GDATA — https://lab52.io/blog/plugx-meeting-invitation-via-msbuild-and-gdata/
  • CISA – Intrusions Affecting Multiple Victims Across Multiple Sectors — https://www.cisa.gov/news-events/alerts/2017/04/27/intrusions-affecting-multiple-victims-across-multiple-sectors
Idź do oryginalnego materiału
  1. Strona główna
  2. Serwisy SEC
  3. Fałszywy instalator Claude rozprzestrzenia PlugX przez DLL sideloading

Powiązane

Gwałtowny wzrost ataków brute force na urządzenia brzegowe w I kwartale 2026

Gwałtowny wzrost ataków brute force na urządzenia brzegowe w...

4 godzin temu
FCC podtrzymuje rozwój U.S. Cyber Trust Mark po zmianie administratora programu

FCC podtrzymuje rozwój U.S. Cyber Trust Mark po zmianie admi...

4 godzin temu
Triad Nexus omija sankcje i odbudowuje infrastrukturę cyberprzestępczą

Triad Nexus omija sankcje i odbudowuje infrastrukturę cyberp...

4 godzin temu
JanelaRAT atakuje bankowość w Ameryce Łacińskiej: trojan finansowy wchodzi na nowy poziom kontroli ofiary

JanelaRAT atakuje bankowość w Ameryce Łacińskiej: trojan fin...

4 godzin temu
Mirax na Androidzie: mobilny RAT zamienia telefony w proxy SOCKS5

Mirax na Androidzie: mobilny RAT zamienia telefony w proxy S...

4 godzin temu
Pushpaganda: kampania wykorzystująca Google Discover, AI i powiadomienia push do scareware oraz fraudów reklamowych

Pushpaganda: kampania wykorzystująca Google Discover, AI i p...

4 godzin temu
McGraw-Hill potwierdza naruszenie danych po groźbach wymuszenia

McGraw-Hill potwierdza naruszenie danych po groźbach wymusze...

4 godzin temu
Windows 11 przestanie zmuszać do czekania. Pominiemy uciążliwy krok

Windows 11 przestanie zmuszać do czekania. Pominiemy uciążli...

9 godzin temu

Polecane

Szok na TurkStream: Materiały wybuchowe po groźbach wojny ze strony Viktora Orbána! | RFU News

Szok na TurkStream: Materiały wybuchowe po groźbach wojny ze...

5 dni temu
SEKTA Z BRONIĄ CHEMICZNĄ. "NAJWYŻSZA PRAWDA" I GAZY BOJOWE

SEKTA Z BRONIĄ CHEMICZNĄ. "NAJWYŻSZA PRAWDA" I GAZY BOJOWE

6 dni temu
Stan podwyższonej gotowości w największej elektrowni w Polsce. Rewolucyjny pomysł eksperta

Stan podwyższonej gotowości w największej elektrowni w Polsc...

6 dni temu
Prezydent Serbii Aleksandar Vučić ogłosił, iż jego służby wykryły ładunek wybuch…

Prezydent Serbii Aleksandar Vučić ogłosił, iż jego służby wy...

1 tydzień temu
Cztery granaty w Polance Wielkiej! Policja przez dobę strzegła, saperzy z Krakowa zabrali

Cztery granaty w Polance Wielkiej! Policja przez dobę strzeg...

2 tygodni temu
Policjanci i psy szkoleni w wykrywaniu narkotyków i materiałów wybuchowych

Policjanci i psy szkoleni w wykrywaniu narkotyków i materiał...

2 tygodni temu
Jak zadbać o bezpieczeństwo rodziny i firmy w dobie współczesnych zagrożeń? Pytania i odpowiedzi ekspertów

Jak zadbać o bezpieczeństwo rodziny i firmy w dobie współcze...

3 tygodni temu
Stopnie alarmowe w województwie łódzkim. Służby w gotowości

Stopnie alarmowe w województwie łódzkim. Służby w gotowości

3 tygodni temu
Fałszywe alarmy bombowe w polskich szkołach. Sprawcy nie mogą spać spokojnie

Fałszywe alarmy bombowe w polskich szkołach. Sprawcy nie mog...

3 tygodni temu