Дослідники кібербезпеки зафіксували активну кампанію, під час якої зловмисники створюють фальшиві вебсайти, що візуально імітують офіційний портал для завантаження та встановлення AI-інструменту Claude від компанії Anthropic. Метою цих шахрайських ресурсів є обман користувачів та спонукання їх до завантаження та запуску шкідливого програмного забезпечення замість легітимного застосунку. Ця тактика дозволяє зловмисникам поширювати PlugX RAT – потужний троян віддаленого доступу, здатний повністю контролювати інфіковану систему.
Шкідлива програма, що розповсюджується через підроблені сайти Claude, ретельно імітує процес легітимної інсталяції. Після завантаження та запуску, вона використовує техніку DLL Sideloading. Цей метод передбачає розміщення шкідливої динамічної бібліотеки (DLL) у тому ж каталозі, що й легітимний виконуваний файл. Коли легітимна програма запускається, вона завантажує шкідливу DLL замість або на додаток до справжньої, надаючи зловмисникам контроль над системою.
- Імітація легітимності: Шкідливе ПЗ візуально копіює інтерфейс та процес встановлення справжнього застосунку Claude, щоб не викликати підозр у користувача.
- DLL Sideloading: Основний вектор атаки, що дозволяє виконати шкідливий код, використовуючи довіру до легітимної програми.
- Самоочищення: Після успішної інсталяції PlugX RAT, шкідливий інсталятор може видаляти свої сліди, ускладнюючи виявлення та аналіз.
- PlugX RAT: Це багатофункціональний троян віддаленого доступу, який дозволяє зловмисникам збирати дані, виконувати команди, керувати файлами та здійснювати інші шкідливі дії на скомпрометованій машині.
Ця загроза є актуальною для широкого кола користувачів, особливо для тих, хто активно використовує або планує використовувати інструменти штучного інтелекту, такі як Claude. До зони ризику входять:
- ІТ-фахівці та розробники: Які часто експериментують з новими технологіями та можуть шукати швидкий доступ до AI-інструментів.
- Аналітики та дослідники: Які використовують AI для обробки даних та аналізу інформації.
- Державні організації та бізнес: Співробітники яких можуть завантажувати програмне забезпечення з неофіційних джерел, наражаючи корпоративні мережі на ризик.
- Будь-який користувач: Хто шукає або завантажує програмне забезпечення з неперевірених вебсайтів, особливо якщо це стосується популярних або нових технологій.
Для мінімізації ризиків інфікування PlugX RAT та іншим шкідливим програмним забезпеченням, Cyber Index UA рекомендує дотримуватися наступних заходів безпеки:
- Завантажуйте ПЗ лише з офіційних джерел: Завжди перевіряйте URL-адресу сайту та переконайтеся, що ви завантажуєте програмне забезпечення безпосередньо з офіційного вебсайту розробника (наприклад, Anthropic для Claude).
- Будьте обережні з посиланнями: Не переходьте за підозрілими посиланнями, отриманими електронною поштою або в месенджерах, навіть якщо вони здаються пов'язаними з відомими сервісами.
- Використовуйте актуальне антивірусне ПЗ: Переконайтеся, що ваш антивірусний захист оновлений і активно працює.
- Навчання користувачів: Проводьте регулярні тренінги з кібергігієни для співробітників, наголошуючи на важливості верифікації джерел завантаження.
- Моніторинг мережі: Впроваджуйте системи моніторингу мережевого трафіку для виявлення аномальної активності, що може свідчити про компрометацію.