Un faux site qui imite Le site internet de Claude AI a été utilisé pour distribuer un installateur malveillant qui offre apparemment un "Claude-Pro Relay" mais installe en fait une porte arrière Windows que les chercheurs ont baptisé Beagle. Le piège combine l'ingénierie sociale de base - une page avec des couleurs et des typographies similaires à l'original - avec un grand téléchargement contenant un installateur MSI saccagé pour rendre l'application légitime tout en exécutant un code malveillant en arrière-plan.
Ce qui est remarquable du point de vue technique est la chaîne d'infection: l'installateur agit comme un leurre tout en laissant tomber un certain nombre de composants qui incluent un exécutable signé et une DLL chargée par chargement latéral, en utilisant DonutLoader comme injecteur en mémoire et enfin le déploiement de la porte arrière en mémoire. Cette combinaison poursuit deux objectifs: que l'utilisateur perçoit que l'application fonctionne et en même temps complique la détection traditionnelle basée sur le disque et les signatures.
En plus de la mécanique de l'attaque, il ya des signes clairs de réutilisation des tactiques historiques et une opération avec un certain degré de sophistication: l'utilisation d'un exécutable signé d'un produit de sécurité pour charger une DLL malveillante est une technique connue qui a été liée dans le passé à des familles comme PlugX, et la communication avec le centre de commande se fait au moyen de canaux chiffrés à un sous-domaine qui émule la marque du faux service. Les analyses publiques indiquent également qu'une IP associée aux services cloud constitue une infrastructure de commande et de contrôle possible.
Ce cas n'est pas isolé : les opérateurs derrière ces campagnes testent différents vecteurs, des leurres PDF et binaires de solutions légitimes supplantées aux fausses pages de mise à jour des fournisseurs de sécurité. Le modèle révèle que la surface d'attaque n'est pas seulement le téléchargement direct du logiciel, mais aussi les résultats parrainés par les moteurs de recherche, miroirs suspects et mises à jour imposteurs de logiciels connus.
Pour les utilisateurs et les administrateurs, la leçon est double. D'une part, vérifier toujours l'origine d'un installateur et ne le télécharger qu'à partir du portail officiel du fournisseur (par exemple Anthropic pour Claude) ou des dépôts confirmés réduit considérablement le risque. D'autre part, il y a des indicateurs techniques qui devraient activer les alarmes: la présence de fichiers appelés NOVupdate.exe et votre partenaire (.dat / .dll) dans les dossiers de démarrage, les processus qui injectent du code dans la mémoire et les communications sortantes vers des domaines ou des PI non reconnus sont des signes à explorer.
Au niveau opérationnel, il convient de compléter l'hygiène numérique par des contrôles techniques: d'appliquer la liste des applications, de tenir à jour l'EDR et les signatures, de surveiller le trafic DNS et son éloignement par des connexions inhabituelles, et de bloquer les domaines ou adresses IP associés à la campagne dans la mesure du possible. Pour le matériel d'intervention, saisir la mémoire du processus suspect et examiner les techniques d'injection en mémoire facilitera la détection de charges telles que Donut et l'extraction d'indicateurs.
Les utilisateurs devraient aussi être méfiants des résultats sponsorisés et éviter d'exécuter des installateurs de sources non vérifiées, et les organisations devraient intégrer des détections spécifiques dans leurs règles : NOVupdate.exe, vérifier les installations de l'ISM à l'extérieur des canaux contrôlés et examiner les mises à jour signées qui peuvent être utilisées abusivement pour le chargement latéral.
Pour ceux qui veulent approfondir les résultats techniques et la surveillance de la campagne, les rapports de détection publique offrent un contexte et des échantillons analysés par des chercheurs indépendants : voir l'analyse initiale publiée par Malharebytes documentant la campagne de subplantation et d'accès à distance, ainsi que le travail de Sophos qui désagrègent la chaîne Donut → Beagle et les mécanismes de chargement latéral utilisés par les attaquants. Voir analyse en Malhareoctets et sur le blog de Sophos sur les tactiques et outils connexes dans le présent rapport.
La conclusion est que la popularité des outils IA est devenue un crochet attrayant pour l'ingénierie sociale et les attaques de lumière de la chaîne d'approvisionnement; la protection exige à la fois le bon sens de l'utilisateur et des contrôles techniques coordonnés sur le réseau et les terminaux pour empêcher un faux service de devenir une porte arrière dans leurs systèmes.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...