Trang web giả mạo Claude AI phát tán mã độc PlugX RAT nguy hiểm

Theo báo cáo mới nhất từ Malwarebytes, một trang web mạo danh tên miền chính thức của Anthropic Claude đã bị phát hiện đang phát tán mã độc trojan truy cập từ xa (RAT) có tên PlugX cho khách truy cập.

Claude AI

Lợi dụng sự phổ biến của Claude, một tác nhân đe dọa đã tạo ra trang web này để lưu trữ liên kết tải xuống trỏ đến một tệp nén ZIP. Tệp này được quảng cáo là chứa phiên bản chuyên nghiệp (pro) của mô hình ngôn ngữ lớn (LLM) Claude.

Quy trình lây nhiễm tinh vi

Bên trong tệp ZIP là một trình cài đặt MSI bắt chước chuỗi cài đặt hợp pháp của Anthropic và thực sự cài đặt ứng dụng Claude thật lên máy tính. Tuy nhiên, điểm mấu chốt nằm ở hành vi khi người dùng khởi chạy ứng dụng.

Khi người dùng cố gắng mở ứng dụng Claude qua shortcut trên màn hình được tạo ra trong quá trình cài đặt, một trình thả (dropper) VBScript sẽ chạy ứng dụng Claude ở nền trước để đánh lừa người dùng. Đồng thời, nó âm thầm cài đặt mã độc ở nền sau.

VBScript này sẽ thả ba tệp vào thư mục khởi động (startup folder), bao gồm NOVUpdate.exe. Đây là tệp cập nhật trình diệt virus G DATA có chữ ký số hợp pháp, bị kẻ tấn công lạm dụng cho kỹ thuật DLL sideloading để thực thi một biến thể của mã độc PlugX.

Mã độc PlugX và khả năng ẩn mình

PlugX là một loại RAT nổi tiếng đã được sử dụng trong các chiến dịch gián điệp mạng trong gần một thập kỷ. Chỉ vài giây sau khi được thả vào hệ thống, NOVUpdate.exe sẽ thiết lập kết nối TCP đến hạ tầng chỉ huy và kiểm soát (C&C) được đặt trên Alibaba Cloud.

Điểm đáng lo ngại khác là khả năng tự làm sạch của mã độc. Ngoài việc thả tệp vào thư mục khởi động, VBScript ban đầu còn ghi một tệp batch để tự xóa chính nó và script, giúp xóa bằng chứng của quá trình lây nhiễm. Các tệp sideloading trong thư mục khởi động và tiến trình NOVUpdate.exe là những hiện vật duy nhất tồn tại trên hệ thống bị nhiễm.

Malwarebytes lưu ý rằng script này còn bao bọc toàn bộ phần tải độc hại trong câu lệnh "On Error Resume Next". Điều này giúp âm thầm xử lý mọi lỗi, đảm bảo rằng các thất bại trong quá trình triển khai không tạo ra hộp thoại lỗi hiển thị, giúp nạn nhân không nghi ngờ.

Bối cảnh an ninh mạng

Chuỗi lây nhiễm này từng được phát hiện vào tháng 2 trong một chiến dịch lừa đảo dựa trên các lời mời tham dự cuộc họp giả để lây nhiễm PlugX cho người nhận.

Mặc dù PlugX trong quá khứ thường gắn liền với các nhóm gián điệp Trung Quốc, mã nguồn của nó đã được chia sẻ rộng rãi among các tác nhân đe dọa, khiến việc quy kết nguồn gốc trở nên khó khăn.

"Điều rõ ràng là những kẻ đứng sau chiến dịch này đã kết hợp một kỹ thuật sideloading đã được kiểm chứng với một mồi nhấp xã hội rất thời điểm—lợi dụng sự bùng nổ của các công cụ AI để lừa người dùng chạy trình cài đặt đã bị cài trojan," Malwarebytes nhận định.