Site Falso do Claude Distribui RAT PlugX

14 de abril de 2026

Resumo

Um ator de ameaça configurou um domínio da Anthropic com typosquatting para servir um instalador MSI trojanizado. Este instalador implanta silenciosamente o PlugX, um Remote Access Trojan (RAT), junto com o aplicativo legítimo Claude. A infecção ocorre por DLL sideloading através de um binário assinado da G DATA (NOVUpdate.exe), e a comunicação é estabelecida com a infraestrutura de C2 na Alibaba Cloud. O dropper em VBScript persiste na pasta de inicialização e se autoexclui para minimizar artefatos forenses, enquanto a supressão de erros impede alertas visíveis para a vítima durante a implantação. Para mitigar, é crucial bloquear o carregamento de DLLs não assinadas de diretórios de inicialização, monitorar o NOVUpdate.exe em busca de conexões de rede suspeitas e impor allowlisting de aplicativos para evitar a execução de instaladores trojanizados de ferramentas de IA.

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 14 de abril de 2026
Fonte: CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?