Falsk Claude AI-webbplats driver en Windows-bakdörr genom Googles sökresultat

En falsk Claude AI-webbplats driver en ny Windows-bakdörr via Googles sponsrade sökresultat. Den skadliga domänen, claude-pro[.]com, klär ut sig till det riktiga Claude-gränssnittet och erbjuder ett falskt verktyg som heter Claude-Pro Relay. Sophos X-Ops publicerade sin fullständiga analys av kampanjen idag. Malwarebytes hittade den först.

Tonhöjden riktar sig till utvecklare. Webbplatsen säljer Claude-Pro Relay som en "högpresterande relätjänst som utformats speciellt för Claude Code-utvecklare." Det enda du faktiskt kan göra på sidan är att klicka på en nedladdningsknapp. Det drar en 505MB ZIP-fil som heter Claude-Pro-windows-x64.zip, som innehåller en MSI-installatör. Installationsprogrammet släpper tre filer i Windows startmapp: ett legitimt, signerat G Data antivirusuppdateringsprogram som döpts om till NOVupdate.exe, en krypterad datafil och en skadlig DLL som heter avk.dll. Den installeras i C:Program Files (x86)AnthropicClaudeCluade - notera stavfelet - men ingen kontrollerar installationssökvägen.

Hur infektionskedjan fungerar

Den signerade binära filen från G Data används för att sidoladda avk.dll. Det är kärnan i tekniken - att låna förtroendet för ett legitimt säkerhetsverktyg för att slinka förbi försvar. DLL dekrypterar den krypterade nyttolasten med en omvänd XOR-nyckel, överlämnar den till DonutLoader, och DonutLoader släpper Beagle-bakdörren på systemet.

Beagle ringer hem till licence[.]claude-pro[.]com på TCP-port 443 eller UDP-port 8080. Trafiken krypteras med en hårdkodad AES-nyckel, så det ser ut som normal HTTPS för alla som tittar på tråden. Bakdörren kör åtta kommandon: exekvering av skal, filöverföring, kataloglista och självborttagning. Det är tillräckligt för full fjärråtkomst. Den har inget att göra med den gamla Delphi-baserade Beagle-masken från 2004 - ett annat namn, ett helt annat djur.

Sophos gick in och förväntade sig PlugX. Sidoladdningsuppsättningen - G Data binär, avk.dll, XOR-krypterad nyttolast - är samma kedja som Lab52 dokumenterade i februari 2026 i en PlugX-kampanj som använde falska mötesinbjudningar. Nyttolasten kom ut annorlunda. Sophos tror nu att angriparen antingen omarbetade en känd kedja eller lyfte tekniken från en helt annan grupp.

Operatörerna har inte suttit stilla. Malwarebytes spårade dem som bytte bulk-e-postleverantörer från Kingmailer till CampaignLark i april 2026 och roterade infrastruktur för att hålla sig före blocklistor. Själva värdservern stod upp i mars 2026, vilket sätter starten på kampanjen ungefär sex veckor före dagens offentliga avslöjande.

Ett mönster av AI-märkta attacker

Det här är tredje gången på ungefär ett år som angripare har använt AI-verktygsmärkning för att köra en DLL-sidoladdningskampanj. Bitdefender fångade falska Claude Code-sidor som kördes via Google Ads i mars 2026 och använde ClickFix för att lura utvecklare att klistra in skadliga terminalkommandon. Innan dess körde falska DeepSeek-installationssidor samma sidoladdningskedja i början av 2025. AI-varumärket ändras för att matcha vad som helst som trender i sökningen. Infektionsmetoden gör det inte.

Kampanjen körs genom sponsrade sökresultat, vilket innebär att den falska webbplatsen satt ovanför den riktiga Claude-listan för alla som sökte och klickade utan att kontrollera domänen. Claude är endast tillgänglig på claude.com. Anthropic har inte släppt något som heter Claude-Pro Relay. Sophos säger att hitta NOVupdate.exe eller avk.dll i Windows startmapp är ett tillförlitligt tecken på att maskinen är komprometterad.

Notebookcheck täckte tidigare en separat incident där en AI-kodningsagent som körs inuti Cursor autonomt raderade en startups hela produktionsdatabas och alla säkerhetskopior utan användarens bekräftelse, vilket belyser de växande riskerna med att distribuera AI-verktyg utan lämpliga skyddsåtgärder