Hamis Claude AI weboldal egy Windows hátsó ajtót tol a Google keresési eredményeken keresztül

A hamis Claude AI weboldal a legitim claude.com felületet utánozza, hogy a Beagle Windows hátsó ajtót a Google szponzorált keresési eredményeken keresztül juttassa el.

Egy hamis Claude AI weboldal a Beagle Windows backdoor-t a Google szponzorált keresési eredményeken keresztül terjeszti egy trójai Claude-Pro Relay telepítő segítségével, amely csendben telepít egy távoli hozzáférési eszközt.

Darryl Linington (fordította DeepL / Ninh Duy), Közzétett 05/08/2026 🇺🇸 🇩🇪 ...

AI Windows Software Security Business Laptop / Notebook Desktop

Egy hamis Claude AI weboldal a Google szponzorált keresési eredményeken keresztül egy új Windows hátsó ajtót kínál. A rosszindulatú domain, a claude-pro[.]com a valódi Claude felületnek álcázza magát, és egy hamis eszközt kínál Claude-Pro Relay néven. A Sophos X-Ops ma tette közzé a kampány teljes elemzését. A Malwarebytes találta meg először.

A pálya a fejlesztőket célozza meg. Az oldal a Claude-Pro Relay-t úgy árulja, mint egy "nagy teljesítményű relé szolgáltatást, amelyet kifejezetten a Claude Code fejlesztők számára terveztek" Az egyetlen dolog, amit ténylegesen megtehetsz az oldalon, az egy letöltés gombra kattintás. Ez egy 505 MB-os ZIP-fájlt húz ki Claude-Pro-windows-x64.zip néven, amely egy MSI telepítőt tartalmaz. A telepítő három fájlt dob a Windows indítómappájába: egy legitim, aláírt G Data vírusirtó frissítő programot, amelyet NOVupdate.exe névre kereszteltek át, egy titkosított adatfájlt és egy avk.dll nevű rosszindulatú DLL fájlt. A telepítő a C:Program Files (x86)AnthropicClaudeCluade - figyeljen a helyesírási hibára -, de senki sem ellenőrzi a telepítési útvonalat.

Hogyan működik a fertőzési lánc

Az aláírt G Data bináris állományt az avk.dll oldaltöltésére használják. Ez a technika lényege - egy legitim biztonsági eszköz bizalmát használja fel, hogy átjusson a védelmi rendszereken. A DLL visszafejti a titkosított hasznos terhet egy fordított XOR kulccsal, átadja a DonutLoader-nek, és a DonutLoader letölti a Beagle backdoor-t a rendszerre.

A Beagle hazatelefonál a licence[.]claude-pro[.]com-hoz a 443-as TCP porton vagy a 8080-as UDP porton. A forgalom egy keményen kódolt AES kulccsal van titkosítva, így bárki számára, aki figyeli a vezetéket, úgy néz ki, mint egy normális HTTPS. A hátsó ajtó nyolc parancsot futtat: héjfuttatás, fájlátvitel, könyvtárlistázás és öneltávolítás. Ez elég a teljes távoli hozzáféréshez. Semmi köze a régi Delphi-alapú Beagle féreghez 2004-ből - más név, teljesen más fenevad.

A Sophos a PlugX-et várta. Az oldalletöltő beállítás - G Data bináris, avk.dll, XOR-kódolt hasznos teher - ugyanaz a lánc, mint amit a Lab52 2026 februárjában dokumentált egy PlugX-kampányban, amely hamis találkozómeghívókat használt. A hasznos teher másként jött ki. A Sophos most úgy véli, hogy a támadó vagy egy ismert láncot alakított át, vagy egy másik csoporttól vette át a technikát.

Az üzemeltetők nem tétlenkedtek. A Malwarebytes nyomon követte őket, amint 2026 áprilisában tömeges e-mail szolgáltatót váltottak a Kingmailerről a CampaignLarkra, és váltogatták az infrastruktúrát, hogy a blokkolási listák előtt maradjanak. Magát a hosting szervert 2026 márciusában állították fel, így a kampány kezdete körülbelül hat héttel a mai nyilvánosságra hozatal előtt történt.

A mesterséges intelligencia által elkövetett támadások mintája

Nagyjából egy éven belül ez a harmadik alkalom, hogy a támadók az AI eszköz márkanevet használják a DLL oldalbetöltő kampányához. A Bitdefender 2026 márciusában a Google hirdetéseken keresztül futó hamis Claude Code oldalakat fogott el, amelyek a ClickFix segítségével becsapták a fejlesztőket, hogy rosszindulatú terminálparancsokat illesszenek be. Ezt megelőzően 2025 elején hamis DeepSeek telepítő oldalak futtatták ugyanezt a sideloading láncot. Az AI márka úgy változik, hogy megfeleljen annak, ami éppen trendi a keresésben. A fertőzési módszer nem.

A kampány a szponzorált keresési eredményeken keresztül fut, ami azt jelenti, hogy a hamis webhely a valódi Claude-listázás fölé ült mindenki számára, aki a domain ellenőrzése nélkül keresett és kattintott rá. A Claude csak a claude.com címen érhető el. Az Anthropic nem adott ki semmit Claude-Pro Relay néven. A Sophos szerint a NOVupdate.exe vagy avk.dll fájl megtalálása a Windows indítómappájában megbízható jele annak, hogy a gép veszélyeztetett.

A Notebookcheck korábban már beszámolt egy külön incidensről, amelyben egy AI kódoló ügynök amely a Cursoron belül futott, önállóan, a felhasználó megerősítése nélkül törölte egy induló vállalkozás teljes termelési adatbázisát és az összes biztonsági másolatot, rámutatva a megfelelő biztonsági intézkedések nélküli AI-eszközök telepítésének növekvő kockázataira

Forrás(ok)

BleepingComputer

Malwarebytes

⟨

Póker a sárkányok ellen: 1,50 dollár alá csökken a Steamen

Path of Exile 2: Return of the Ancients: A Return of the Ancients a játék végjátékának teljes átdolgozását és az ikonikus Mageblood-övet hozza el

⟩

Please share our article, every link counts!

Kapcsolódó cikkek

Editor of the original article: Darryl Linington - Tech Writer - 246 articles published on Notebookcheck since 2025

contact me via: @DarrylLinington, Facebook, DarrylLinington, LinkedIn

Translator: Ninh Ngoc Duy - Editorial Assistant - 761607 articles published on Notebookcheck since 2008

contact me via: Facebook

> Magyarország - Kezdőlap > Hírek > News Archive > Newsarchive 2026 05 > Hamis Claude AI weboldal egy Windows hátsó ajtót tol a Google keresési eredményeken keresztül

Darryl Linington, 2026-05- 8 (Update: 2026-05- 8)