Eine gefälschte Website, die mimics Claude AI's Website wurde verwendet, um einen böswilligen Installer zu verbreiten, der offensichtlich einen "Claude-Pro Relay" bietet, aber tatsächlich installiert eine Windows-Hintertür, die Forscher getauft haben als Beagle. Die Falle kombiniert grundlegendes Social Engineering - eine Seite mit Farben und Typografien ähnlich dem Original - mit einem großen Download, der einen zerschlagenen MSI-Installer enthält, um die Anwendung legitim aussehen zu lassen, während böswillige Code im Hintergrund laufen.
Was aus der technischen Sicht bemerkenswert ist die Infektionskette: der Installer fungiert als Deko, während eine Reihe von Komponenten fallen, die eine unterzeichnete ausführbare und eine von Sideloading geladene DLL beinhalten, mit DonutLoader als In-Memory-Injektor und schließlich der Einsatz der Backdoor im Speicher. Diese Kombination verfolgt zwei Ziele: dass der Benutzer erkennt, dass die Anwendung funktioniert und gleichzeitig die traditionelle Erkennung auf Basis von Festplatte und Signaturen kompliziert.
Neben der Mechanik des Angriffs, gibt es klare Anzeichen für die Wiederverwendung von historischen Taktiken und eine Operation mit einem gewissen Grad an Raffinesse: die Verwendung eines signierten ausführbaren eines Sicherheitsproduktes zum Beladen einer bösartigen DLL ist eine bekannte Technik, die in der Vergangenheit an Familien wie PlugX, und die Kommunikation mit dem Befehlszentrum erfolgt mittels verschlüsselter Kanäle zu einer Subdomain, die die Marke des falschen Dienstes emuliert. Öffentliche Analysen geben auch eine IP an, die mit Cloud-Services als mögliche Befehls- und Kontrollinfrastruktur verbunden ist.
Dieser Fall ist nicht isoliert: Die Betreiber hinter diesen Kampagnen testen verschiedene Vektoren, von decoy PDFs und binäre von legitimen supplantierten Lösungen bis zu falschen Update-Seiten von Sicherheitsanbietern. Das Muster zeigt, dass die Angriffsfläche nicht nur der direkte Download von Software ist, sondern auch die Ergebnisse, die von Suchmaschinen, verdächtigen Spiegeln und Impostor-Updates bekannter Software gesponsert werden.
Für Benutzer und Administratoren ist die Lektion doppelt. Einerseits, immer den Ursprung eines Installers überprüfen und laden Sie es nur aus dem offiziellen Lieferantenportal (z.B. Anthropic for Claude) oder aus bestätigten Repositories drastisch reduziert das Risiko. Andererseits gibt es technische Indikatoren, die Alarme aktivieren sollten: das Vorhandensein von aufgerufenen Dateien NOVupdate.exe und Ihr Partner (.dat / .dll) in Startordnern, Prozessen, die Code in Speicher und ausgehende Kommunikation zu unbekannten Domains oder PIs sind Zeichen zu untersuchen.
Auf betrieblicher Ebene ist es angebracht, die digitale Hygiene mit technischen Kontrollen zu ergänzen: die Genehmigungsliste von Anwendungen anzuwenden, die EDR- und Unterschriften auf dem neuesten Stand zu halten, den DNS-Verkehr und das Datum durch ungewöhnliche Verbindungen zu überwachen und IP-Domains oder -Adressen, die mit der Kampagne verbunden sind, soweit möglich zu blockieren. Die Erfassung des Speichers des verdächtigen Prozesses und die Überprüfung der In-Memory-Injektionstechniken erleichtert die Erkennung von Lasten wie Donut und die Extraktion von Indikatoren.
Benutzer sollten auch von gesponserten Ergebnissen abweichen und nicht überprüfte Quell-Installateure laufen lassen, und Organisationen sollten spezifische Erkennungen in ihre Regeln integrieren: Scannen für Name Boot wie NOVupdate.exe, Audit MSI Einrichtungen außerhalb der kontrollierten Kanäle und Überprüfung Implementierungen von unterzeichneten Updates, die für Sideloads missbraucht werden können.
Für diejenigen, die technische Erkenntnisse und Kampagnenüberwachung vertiefen wollen, bieten öffentliche Detektionsberichte Kontexte und von unabhängigen Forschern analysierte Proben an: siehe die erste Analyse von Malharebytes, die die Kampagne der Subplantation und des Fernzugriffs dokumentiert, sowie die Arbeit von Sophos, die die Donut → Beagle Kette und die von den Angreifern verwendeten Sideloading-Mechanismen zerlegt. Siehe Analyse Malharebytes und auf Sophos's Blog über verwandte Taktiken und Werkzeuge in diesem Bericht.
Der Schluss ist, dass die Popularität von IA-Tools zu einem attraktiven Haken für Social Engineering und Supply-Chain-Licht-Angriffe geworden ist; Schutz erfordert sowohl Benutzer gesunden Sinn und koordinierte technische Kontrollen im Netzwerk und Endpunkte, um zu verhindern, dass ein falscher Service zu einer Hintertür in ihren Systemen.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...