MalwareHackerangriffePhishing

Gefälschte Claude-Website verbreitet PlugX-Trojaner – Anthropic-Installation als Köder

Gefälschte Claude-Website verbreitet PlugX-Trojaner – Anthropic-Installation als Köder
Zusammenfassung

Eine gefälschte Website, die sich als offizielles Portal des KI-Assistenten Claude ausgibt, wurde dabei entdeckt, wie sie Besucher mit dem gefährlichen PlugX-Trojaner infizierte. Die Bedrohung nutzt die wachsende Popularität von Claude und künstlicher Intelligenz aus, um Nutzer zum Download eines manipulierten Installers zu verleiten, der zunächst die legitime Anwendung installiert, im Hintergrund aber Malware einschleusen soll. Der Angriffsablauf ist besonders tückisch: Ein verstecktes VBScript-Skript startet die echte Claude-Anwendung im Vordergrund, während gleichzeitig ein Remote-Access-Trojaner installiert wird, der mithilfe der DLL-Sideloading-Technik ausgeführt wird. Für deutsche Nutzer, Unternehmen und Behörden stellt dies ein erhebliches Risiko dar, da die Methode leicht nachzuahmen ist und die Verbindung zum populären KI-Tool viele User in Sicherheit wiegen könnte. Besonders Fachkräfte in IT-sensitiven Bereichen könnten ins Visier geraten, zumal PlugX für Spionagekampagnen bekannt ist. Die Infektion hinterlässt nur minimale Spuren und löscht ihre eigenen Dateien, was die Entdeckung erheblich erschwert und Unternehmen vor zusätzliche Herausforderungen bei der Forensik stellt.

Der Angriff folgt einem ausgefeilten Drehbuch: Besucher der gefälschten Website erhalten einen Download-Link zu einem ZIP-Archiv, das angeblich die Pro-Version von Claude enthält. Das Paket beinhaltet einen MSI-Installer, der die echte Claude-Anwendung installiert – was dem Nutzer suggeriert, alles sei in Ordnung. Allerdings lädt ein verstecktes VBScript-Dropper-Skript im Hintergrund den echten Trojaner nach, während die legitime Claude-App im Vordergrund startet und dem Benutzer Normalität vortäuscht.

Das Schädlingspaket hat es in sich: Das VBScript legt drei Dateien im Windows-Startup-Ordner ab, darunter die Datei NOVUpdate.exe. Diese Executable ist besonders heimtückisch – es handelt sich um einen signierten G-DATA-Antivirus-Updater, der für DLL-Sideloading missbraucht wird. Dieses Privilege-Escalation-Verfahren gehört zu den bewährten Techniken von Cyberkriminellen, um Malware auszuführen, ohne Sicherheitsmechanismen zu triggern.

Das eigentliche Ziel ist PlugX, ein bekannter Remote-Access-Trojaner, der seit fast einem Jahrzehnt in diversen Spionagekampagnen zum Einsatz kommt. Kurz nach dem Drop verbindet sich NOVUpdate.exe mit Command-and-Control-Infrastruktur auf Alibaba Cloud. Das ermöglicht Angreifern vollständigen Fernzugriff auf das System.

Besonders raffiniert ist die Verschleierungsstrategie: Das VBScript schreibt eine Batch-Datei, die sich selbst und das Installations-Skript löscht – dadurch werden Infektionsspuren verwischt. Die einzigen verbleibenden Artefakte sind die Dateien im Startup-Ordner und der NOVUpdate.exe-Prozess. Zudem umhüllt das Script den gesamten Malware-Payload mit einem “On Error Resume Next”-Statement, das Fehler stillschweigend unterdrückt. So sehen Opfer keine Fehlerdialoge, die Verdacht erregen könnten.

Malwarebytes-Experten beobachteten diese Infektionskette bereits im Februar in einer Phishing-Kampagne, die gefälschte Termineinladungen als Köder nutzte. Während PlugX historisch mit chinesischen Spionagegruppen assoziiert wird, ist der Quellcode längst zwischen verschiedenen Threat-Aktoren ausgetauscht worden – Attribution bleibt schwierig. Klar ist jedoch: Die Kampagnen-Operatoren kombinieren eine bewährte DLL-Sideloading-Technik mit zeitgemäßem Social Engineering, das die Begeisterung für KI-Tools ausnutzt.

Ähnliche Artikel