Site Falso do Claude Distribui RAT PlugX

Um ator de ameaça configurou um domínio da Anthropic com typosquatting para servir um instalador MSI trojanizado. Este instalador implanta silenciosamente o PlugX, um Remote Access Trojan (RAT), junto com o aplicativo legítimo Claude. A infecção ocorre por DLL sideloading através de um binário assinado da G DATA (NOVUpdate.exe), e a comunicação é estabelecida com a infraestrutura de C2 na Alibaba Cloud. O dropper em VBScript persiste na pasta de inicialização e se autoexclui para minimizar artefatos forenses, enquanto a supressão de erros impede alertas visíveis para a vítima durante a implantação. Para mitigar, é crucial bloquear o carregamento de DLLs não assinadas de diretórios de inicialização, monitorar o NOVUpdate.exe em busca de conexões de rede suspeitas e impor allowlisting de aplicativos para evitar a execução de instaladores trojanizados de ferramentas de IA.