Saldırganlar, Anthropic’in yapay zeka aracı Claude’un resmi sitesini taklit eden bir domain üzerinden geliştiricileri hedef alan bir kampanya başlattı. Bu claude virüs uyarısı kapsamında incelenen sahte yükleyici, ziyaretçilere görünürde çalışan bir Claude uygulaması sunarken arka planda sisteme kötü amaçlı yazılım yerleştiriyor. Güvenlik şirketi Malwarebytes’in tespit ettiği saldırı, beagle arka kapı yazılımını kurbanın bilgisayarına sessizce bulaştırıyor.

Sahte Yükleyici DLL Sideloading Tekniği ile Zararlı Yazılımı Aktif Hale Getiriyor

Kurulum dosyası, meşru Electron tabanlı uygulamaların kullandığı Squirrel güncelleme çerçevesine atıfta bulunan bir dizine yerleşiyor. Geliştiricilerin dikkat etmesi gereken en belirgin detay ise klasör adında “Claude” yerine “Cluade” şeklinde bir yazım hatası bulunması. Ön planda gerçek Claude uygulaması çalışırken bir VBScript, SquirrelTemp dizinindeki üç dosyayı Windows Başlangıç klasörüne kopyalıyor. Bu noktada dll sideloading saldırısı devreye giriyor; NOVUpdate.exe adlı meşru G DATA antivirüs güncelleyicisi, kendi dizininden avk.dll adlı kötü amaçlı bir kütüphaneyi yüklemeye zorlanıyor. Signed bir yürütülebilir dosyanın kötüye kullanımı, uç nokta güvenlik araçlarının bu aktiviteyi tespit etmesini zorlaştırıyor.

Araştırmacıların tespitlerine göre bu plugx benzeri malware zinciri, yıllardır bilinen bir arka kapı ailesinin varyantlarıyla kod benzerlikleri taşıyor. Saldırganlar kurbanı şüphelendirmemek için dosyaları yerleştirdikten sonra ~del.vbs.bat adlı küçük bir toplu iş dosyası yazıyor. Bu dosya iki saniye bekledikten sonra orijinal VBScript’i ve kendisini siliyor, böylece zararlı bırakıcı (dropper) diskten tamamen kayboluyor. Geriye kalan tek kalıcı izler ise Başlangıç klasöründeki sideloading dosyaları ve çalışmaya devam eden novupdate.exe kötüye kullanımı ile ortaya çıkan NOVUpdate.exe süreci oluyor.

👉️ İlginizi Çekebilir: Sysinternals Araçları Büyük Güncelleme ile Paketli Uygulama Desteği ve Linux Dağıtım Uyumluluğu Kazanıyor

Kötü amaçlı yazılımın dağıtım betiği, “On Error Resume Next” ifadesiyle tüm hata mesajlarını sessizce yutuyor. Bu sayede kurulum sırasında oluşabilecek herhangi bir sorun, kullanıcıya görünür bir hata penceresi göstermiyor. Cofense’den Max Gannon’ın değerlendirmesine göre saldırganların kaynak yoğun bir program olan Claude’un çalışan bir kopyasını da yüklemesi oldukça dikkat çekici. Bu büyük uygulama, arka planda yürütülen diğer kötü amaçlı aktiviteleri maskeleme işlevi görüyor. Temizlik araçlarının kullanımı, bellek içinde çalışan yapı ve kalıcılık mekanizmaları, tehdit aktörlerinin bu zararlı yazılımı uzun vadeli kullanım için tasarladığını gösteriyor.