La popolarità di Claude — con quasi 290 milioni di visite al mese — ha attirato l’attenzione dei criminali informatici, che hanno creato un sito fasullo volto a distribuire un trojan. Visitatori in buona fede scaricano un archivio apparentemente innocuo e ottengono un’applicazione che si avvia correttamente in primo piano, mentre in background parte una catena di infezione basata su PlugX. In questo articolo spieghiamo la dinamica dell’attacco, i segnali di allarme e le azioni pratiche per verificare se il proprio sistema è stato compromesso.
La campagna utilizza tecniche consolidate ma insidiose: un installer trojanizzato, un meccanismo di sideloading della DLL e strumenti firmati per eludere i controlli. Analisi forensi e telemetria sandbox hanno ricostruito ogni passaggio, rivelando che i file dannosi vengono collocati nella cartella di avvio per garantire la persistenza e che la comunicazione con un server remoto viene stabilita in pochi secondi.
Comprendere questi dettagli è fondamentale per intervenire rapidamente e limitare i danni.
Come viene costruita la trappola
Il sito fasullo propone un file chiamato Claude-Pro-windows-x64.zip che contiene un pacchetto MSI progettato per imitare un’installazione ufficiale di Anthropic. L’installer crea una struttura che ricorda l’app autentica, inclusa l’invocazione del framework Squirrel, ma introduce un errore evidente: la cartella di installazione contiene la dicitura Cluade invece di Claude. Quando l’utente clicca sul collegamento iniziale, viene avviato un dropper VBScript che lancia l’eseguibile reale al fine di mascherare l’attività malevola, creando nel contempo collegamenti che fanno sembrare tutto normale.
Il ruolo del dropper
Il VBScript agisce silenziosamente: copia tre file dal temporaneo nella cartella di avvio di Windows e avvia un eseguibile con finestra nascosta.
I tre file sono NOVUpdate.exe, avk.dll e NOVUpdate.exe.dat. Questo schema permette all’attaccante di sfruttare una tecnica nota come DLL sideloading (MITRE T1574.002), in cui un eseguibile firmato legitimo carica una libreria compromessa presente nella stessa cartella. L’effetto è che l’eseguibile può apparire innocuo ai controlli, mentre la DLL carica il payload crittato.
Comportamento del malware e comunicazioni
Una volta eseguito il meccanismo di sideloading, la DLL malevola decifra il file .dat e lascia partire la famiglia di malware PlugX, un RAT (Remote Access Trojan) che concede il controllo remoto del sistema. Analisi in sandbox hanno mostrato che il processo stabilisce la prima connessione TCP verso l’indirizzo 8.217.190.58:443 in pochi secondi e che la persistenza è assicurata dalla presenza dei file nella cartella di avvio.
Inoltre, sono state osservate modifiche a chiavi di registro legate alla configurazione TCP/IP, un comportamento tipico di campagne più avanzate.
Meccanismi anti-forensi e contesto tecnico
Il dropper implementa anche misure per cancellare tracce: crea un file batch che attende brevi secondi e poi elimina il codice VBScript originale, lasciando solo i file di sideloading e il processo in esecuzione. Questa strategia complica l’analisi iniziale. Il pattern di tre file (eseguibile firmato, DLL trojanizzata e payload .dat crittato) è stato documentato da Lab52 nel rapporto “PlugX Meeting Invitation via MSBuild and GDATA” pubblicato a febbraio 2026, e la tecnica qui osservata riprende quegli stessi concetti.
Indicatori di compromesso e consigli operativi
Per verificare un’infezione controllate la cartella di Startup per la presenza di NOVUpdate.exe, avk.dll o NOVUpdate.exe.dat e cercate la directory C:\\Program Files (x86)\\Anthropic\\Claude\\Cluade\\.
Se trovate elementi sospetti, disconnettete il dispositivo da Internet immediatamente, eseguite una scansione completa con Malwarebytes o un altro antimalware aggiornato e revisionate i registri del firewall per connessioni verso 8.217.190.58:443. Considerate la rotazione delle password e l’analisi degli account accessibili dal dispositivo compromesso, poiché le varianti di PlugX possono includere keylogging e furto di credenziali.
Indicatori tecnici (IOC)
File e hash distribuiti: Claude-Pro-windows-x64.zip (hash: 35FEEF0E6806C14F4CCDB4FCEFF8A5757956C50FB5EC9644DEDAE665304F9F96), NOVUpdate.exe (hash: be153ac4db95db7520049a4c1e5182be07d27d2c11088a2d768e931b9a981c7f), avk.dll (hash: d5590802bf0926ac30d8e31c0911439c35aead82bf17771cfd1f9a785a7bf143), NOVUpdate.exe.dat (hash: 8ac88aeecd19d842729f000c6ab732261cb11dd15cdcbb2dd137dc768b2f12bc). Indirizzo C2: 8.217.190.58:443. Record MX segnalati: Kingmailer (rilevata l’ultima volta il 28 marzo 2026) e CampaignLark (rilevata dal 5 aprile 2026).
Per ridurre il rischio: scaricate solo da claude.download, evitate i link ricevuti via email o annunci pubblicitari, non preferite versioni “Pro” offerte fuori dai canali ufficiali e mantenete una soluzione antimalware in tempo reale sempre attiva. La combinazione di ingegneria sociale aggiornata e tecniche di sideloading rende essenziale la prudenza e i controlli regolari sui dispositivi.
