1. 首页首页
  2. 科技前沿科技前沿

2026年虚假的ClaudeAI安装程序利用DLL侧加载技术部署PlugX恶意软件

科技前沿 阅读 0

虚假的ClaudeAI安装程序利用DLL侧加载技术部署PlugX恶意软件文章总结 一个虚假的 ClaudeAI 网站通过提供含木马的安装程序传播 PlugX 恶意软件 该恶意软件利用 DLL 侧加载技术 借助合法的 GData 签名更新程序加载恶意 DLL 执行加密 Payload 以实现远程控制 并通过自删除脚本清除痕迹 报告指出攻击者结合了成熟的侧加载技术与 AI 热点进行社会工程学攻击 综合评分 85 文章分类 恶意软件 终端安全 社会工程学 威胁情报 漏洞分析

大家好,我是讯享网,很高兴认识大家。这里提供最前沿的Ai技术和互联网信息。



文章总结: 一个虚假的ClaudeAI网站通过提供含木马的安装程序传播PlugX恶意软件。该恶意软件利用DLL侧加载技术,借助合法的GData签名更新程序加载恶意DLL,执行加密Payload以实现远程控制,并通过自删除脚本清除痕迹。报告指出攻击者结合了成熟的侧加载技术与AI热点进行社会工程学攻击。 综合评分: 85 文章分类: 恶意软件,终端安全,社会工程学,威胁情报,漏洞分析

cover_image

鹏鹏同学 鹏鹏同学

黑猫安全

2026年4月15日 08:53 湖北

在小说阅读器读本章

去阅读

据Malwarebytes报道,一个冒充Anthropic公司Claude服务的虚假网站被发现正在传播PlugX远程访问木马。

这个恶意网站利用聊天机器人的热度,诱使用户下载一个号称是“专业版”安装程序的ZIP压缩包。该恶意软件使用DLL侧加载技术执行,并在感染后试图清除痕迹,从而降低在系统中的可见性。

Malwarebytes发布的报告写道:“我们发现了一个冒充Anthropic公司Claude的虚假网站,用于提供带有木马的安装程序。该域名模仿了Claude官方网站,下载ZIP压缩包的访客会得到一个能正常安装和运行的Claude副本。但在后台,它会部署PlugX恶意软件链,使攻击者能够远程访问系统。”

该恶意网站提供的是一个包含MSI安装程序的ZIP文件,该安装程序模仿了合法的Anthropic Claude安装包,但存在细微瑕疵,例如文件夹名称拼写错误。它会释放一个快捷方式,该快捷方式运行一个VBScript,在启动真实应用程序以避免引起怀疑的同时,在后台静默执行恶意操作。

在后台,该脚本将三个文件——NOVUpdate.exe、avk.dll和一个加密的.dat文件——复制到Windows启动文件夹中,并隐形运行该可执行文件。这滥用了DLL侧加载技术,利用G DATA的一个合法签名的更新程序来加载恶意DLL。

报告继续写道:“对释放器脚本的静态分析表明,这些文件分别是名为NOVUpdate.exe的可执行文件、名为avk.dll的DLL文件,以及名为NOVUpdate.exe.dat的加密数据文件。然后,该脚本以隐藏窗口(窗口样式为0)的方式启动NOVUpdate.exe,因此屏幕上不会显示任何内容。这是一个典型的DLL侧加载攻击,MITRE将其归类为T1574.002技术。NOVUpdate.exe是G DATA杀毒软件的一个合法签名的更新程序。当它执行时,会尝试从其自身目录加载一个名为avk.dll的库。通常情况下,这应该是G DATA的正版组件,但在这里攻击者将其替换为了恶意版本。像这样的已签名侧加载宿主程序可能会使检测变得复杂,因为终端安全工具可能认为父进程是可信任的。”

随后,该DLL会解密并执行存储在.dat文件中的有效载荷。

这种由已签名的可执行文件、木马化的DLL和加密的有效载荷组成的三部分结构,是PlugX恶意软件家族的典型特征,该家族常被用于长期运行的网络间谍活动。

沙箱分析显示,该恶意软件在执行后会迅速活跃起来。WScript.exe将NOVUpdate.exe和avk.dll释放到启动文件夹中,并在22秒内,该可执行文件通过HTTPS连接到远程服务器(8.217.190[.]58),并多次重复通信。该IP地址托管在阿里云的基础设施上,该基础设施常被滥用作命令与控制服务器。该恶意软件还会修改一个与TCP/IP相关的注册表项,以改变网络行为。

为了逃避检测,VBScript部署了一种自删除机制,在执行后不久便删除脚本本身以及一个临时的批处理文件,只留下侧加载的文件和活跃进程。它会抑制错误提示,以免惊动受害者。

报告继续写道:“部署有效载荷文件后,VBScript会写入一个名为~del.vbs.bat的小型批处理文件,该文件等待两秒钟,然后删除原始的VBScript脚本和批处理文件本身。这意味着当用户或分析人员去寻找时,释放器已经从磁盘上消失了。唯一留下的痕迹是启动文件夹中的侧加载文件以及正在运行的NOVUpdate.exe进程。”

这种方法与Lab52之前记录的技术如出一辙,即使用合法的G DATA可执行文件、恶意DLL和加密的有效载荷,这些都是PlugX的特征。虽然PlugX在历史上与中国有关的间谍活动存在关联,但它现在已被广泛复用。在此次攻击中,攻击者将这种已知方法与人工智能主题的诱饵相结合,诱骗用户安装恶意软件。

报告总结道:“PlugX在历史上一直被认为与代表中国国家利益的间谍活动操作者有关。然而,研究人员注意到,PlugX的源代码已在暗网论坛流传,这扩大了潜在操作者的范围。仅基于工具进行归因并非定论。明确的是,此次攻击活动的幕后操作者将一种成熟的侧加载技术与及时的社交工程诱饵相结合,利用人工智能工具迅速增长的热度,诱骗用户运行带有木马的安装程序。”

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:黑猫安全 鹏鹏同学

 鹏鹏同学《虚假的Claude AI安装程序利用DLL侧加载技术部署PlugX恶意软件》

小讯
上一篇 2026-04-17 08:23
下一篇 2026-04-17 08:21

相关推荐

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/266785.html