Fišing kampanja sa AI mamcem: Kako se širi PlugX na računarima
Bezbednosni istraživači iz kompanije Malwarebytes upozoravaju na novu kampanju u kojoj se lažni instalater za Claude AI koristi za širenje PlugX malvera na Windows sistemima. Napadači koriste popularnost AI alata kako bi privukli korisnike i naveli ih da preuzmu kompromitovani softver.
Ovakav pristup nije nov, ali sve češće koristi aktuelne tehnologije kao mamac. Upravo zato korisnici treba da budu dodatno oprezni kada preuzimaju programe koji obećavaju napredne funkcionalnosti ili ekskluzivne verzije poznatih alata.
Kako funkcioniše lažna instalacija
Napadači su napravili sajt koji vizuelno imitira zvaničnu stranicu kompanije Anthropic i na njemu nude navodnu Pro verziju Claude alata za Windows. Korisnici na ovu stranicu najčešće dolaze putem fišing mejlova, gde im se nudi preuzimanje ZIP arhive pod nazivom Claude-Pro-windows-x64.zip.
Nakon preuzimanja i raspakivanja, korisnici pokreću MSI instalater koji deluje legitimno. Međutim, već u ovom koraku započinje lanac infekcije koji se odvija neprimetno u pozadini. Korisnik pritom nema vidljive znakove da je sistem kompromitovan, što dodatno otežava pravovremeno reagovanje.
Skriveni mehanizam infekcije
Unutar arhive nalazi se instalacioni fajl koji na desktopu kreira prečicu pod nazivom Claude AI.lnk. Kada korisnik klikne na nju, pokreće se VBScript koji otvara legitimnu Claude aplikaciju kako bi sve izgledalo uobičajeno.
Dok korisnik vidi očekivani program, u pozadini se instalira PlugXmalver. Ova taktika služi da se smanji sumnja i omogući napadačima da nesmetano preuzmu kontrolu nad sistemom. Na taj način napad ostaje skriven dovoljno dugo da omogući dalje kompromitovanje uređaja i potencijalno prikupljanje podataka.
Tehnike koje napadači koriste za prikrivanje
U ovom napadu koristi se metoda poznata kao DLLsideloading. Konkretno, zloupotrebljava se legitimni fajl NOVUpdate.exe kompanije G DATA, zajedno sa zlonamernim fajlovima avk.dll i dodatnim payloadom NOVUpdate.exe.dat.
Kada se pokrene legitimni fajl, on automatski učitava i maliciozne komponente, čime napadači dobijaju daljinski pristup zaraženom uređaju. PlugX zatim obezbeđuje trajnost tako što se smešta u Windows Startup folder, omogućavajući automatsko pokretanje pri svakom uključivanju računara.
Brza komunikacija i upozorenja stručnjaka
Prema nalazima istraživača, malver uspostavlja komunikaciju sa komandno-kontrolnim serverom za svega 22 sekunde od instalacije, koristeći infrastrukturu Alibaba Cloud i konekciju preko porta 443. PlugX je ranije povezivan sa špijunskim operacijama koje se dovode u vezu sa Kinom, ali stručnjaci napominju da sam alat nije dovoljan dokaz za atribuciju.
Dodatni znak da je reč o prevari jeste pravopisna greška u nazivu foldera, gde se pojavljuje „Cluade“ umesto „Claude“. Stručnjaci savetuju korisnicima da softver preuzimaju isključivo sa zvaničnih izvora i da obrate pažnju na sumnjive fajlove poput NOVUpdate.exe ili avk.dll u Startup folderu. U slučaju infekcije, preporučuje se hitno isključivanje sa interneta i promena svih lozinki.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.
BONUS VIDEO: