Notebookcheck Logo

Sahte Claude AI web sitesi Google arama sonuçları aracılığıyla bir Windows arka kapısı gönderiyor

Sahte bir Claude AI web sitesi, Google sponsorlu arama sonuçları aracılığıyla Beagle Windows arka kapısını sunmak için meşru claude.com arayüzünü taklit eder.
ⓘ www.cape.co
Sahte bir Claude AI web sitesi, Google sponsorlu arama sonuçları aracılığıyla Beagle Windows arka kapısını sunmak için meşru claude.com arayüzünü taklit eder.
Sahte bir Claude AI web sitesi, bir uzaktan erişim aracını sessizce dağıtan trojanize bir Claude-Pro Relay yükleyicisi kullanarak Google sponsorlu arama sonuçları aracılığıyla Beagle Windows arka kapısını itiyor.
AI Windows Software Security Business Laptop / Notebook Desktop

Sahte bir Claude AI web sitesi, Google sponsorlu arama sonuçları aracılığıyla yeni bir Windows arka kapısı yayıyor. Claude-pro[.]com adlı zararlı alan adı, kendisini gerçek Claude arayüzü gibi gösteriyor ve Claude-Pro Relay adlı sahte bir araç sunuyor. Sophos X-Ops bugün kampanyanın tam analizini yayınladı. İlk olarak Malwarebytes buldu.

Kampanya geliştiricileri hedefliyor. Site Claude-Pro Relay'i "Claude Code geliştiricileri için özel olarak tasarlanmış yüksek performanslı bir röle hizmeti" olarak satıyor Sayfada gerçekten yapabileceğiniz tek şey bir indirme düğmesine tıklamak. Bu, bir MSI yükleyicisi içeren Claude-Pro-windows-x64.zip adlı 505MB'lık bir ZIP dosyasını çekiyor. Yükleyici, Windows başlangıç klasörüne üç dosya bırakır: NOVupdate.exe olarak yeniden adlandırılan yasal, imzalı bir G Data antivirüs güncelleyicisi, şifrelenmiş bir veri dosyası ve avk.dll adlı kötü amaçlı bir DLL. C:Program Files (x86)AnthropicClaudeCluade içine yüklenir - yanlış yazıma dikkat edin - ancak kimse yükleme yolunu kontrol etmez.

Bulaşma zinciri nasıl çalışır

İmzalı G Data ikili dosyası avk.dll'i yandan yüklemek için kullanılır. Tekniğin özü budur - savunmaları atlatmak için meşru bir güvenlik aracının güvenini ödünç almak. DLL şifrelenmiş yükün şifresini ters XOR anahtarıyla çözer, DonutLoader'a teslim eder ve DonutLoader Beagle arka kapısını bırakır sisteme.

Beagle, 443 numaralı TCP bağlantı noktası veya 8080 numaralı UDP bağlantı noktası üzerinden licence[.]claude-pro[.]com adresine telefon eder. Trafik sabit kodlanmış bir AES anahtarıyla şifrelenir, bu nedenle kabloyu izleyen herkese normal HTTPS gibi görünür. Arka kapı sekiz komut çalıştırır: kabuk yürütme, dosya aktarımı, dizin listeleme ve kendi kendini kaldırma. Bu tam uzaktan erişim için yeterlidir. Eski Delphi tabanlı Beagle solucanı ile hiçbir ilgisi yoktur 2004'ten - farklı bir isim, tamamen farklı bir canavar.

Sophos PlugX'i bekliyordu. Yan yükleme kurulumu - G Data ikili dosyası, avk.dll, XOR şifreli yük - Lab52'nin Şubat 2026'da sahte toplantı davetiyeleri kullanan bir PlugX kampanyasında belgelediği zincirle aynı. Yük farklı çıkmıştı. Sophos şimdi saldırganın ya bilinen bir zinciri yeniden düzenlediğini ya da tekniği tamamen başka bir gruptan aldığını düşünüyor.

Operatörler hareketsiz kalmadı. Malwarebytes, Nisan 2026'da Kingmailer'dan CampaignLark'a toplu e-posta sağlayıcılarını değiştirdiklerini ve engelleme listelerinin önünde kalmak için altyapıyı değiştirdiklerini izledi. Barındırma sunucusunun kendisi Mart 2026'da kuruldu, bu da kampanyanın başlangıcının bugünkü kamuya açıklamadan yaklaşık altı hafta öncesine denk geldiğini gösteriyor.

Yapay zeka markalı bir saldırı modeli

Saldırganlar yaklaşık bir yıl içinde üçüncü kez DLL sideloading kampanyası yürütmek için yapay zeka aracı markasını kullandılar. Bitdefender, Mart 2026'da Google Reklamları aracılığıyla çalışan sahte Claude Code sayfalarını yakaladı ve ClickFix'i kullanarak geliştiricileri kötü amaçlı terminal komutlarını yapıştırmaları için kandırdı. Bundan önce, sahte DeepSeek yükleyici siteleri 2025'in başlarında aynı yan yükleme zincirini çalıştırdı. Yapay zeka markası, aramada trend olan her şeye uyacak şekilde değişir. Bulaşma yöntemi değişmiyor.

Kampanya sponsorlu arama sonuçları üzerinden yürütülüyor, bu da sahte sitenin arama yapan ve alan adını kontrol etmeden tıklayan herkes için gerçek Claude listesinin üzerinde yer aldığı anlamına geliyor. Claude yalnızca claude.com adresinde mevcuttur. Anthropic Claude-Pro Relay adında bir şey yayınlamadı. Sophos, Windows başlangıç klasöründe NOVupdate.exe veya avk.dll dosyalarının bulunmasının makinenin tehlikede olduğuna dair güvenilir bir işaret olduğunu söylüyor.

Notebookcheck daha önce de bir polis memurunun Yapay zeka kodlama ajanı cursor içinde çalışan bir yapay zeka aracının, kullanıcı onayı olmadan bir startup'ın tüm üretim veritabanını ve tüm yedeklerini otonom olarak silmesi, yapay zeka araçlarının uygun güvenlik önlemleri olmadan kullanılmasının giderek artan risklerini vurgulamaktadır

Please share our article, every link counts!
Mail Logo

İlgili makaleler

> Notebooklar Hakkında Aradığınız Herşey > Haberler > Haber Arşivi > Haber arşivi 2026 05 > Sahte Claude AI web sitesi Google arama sonuçları aracılığıyla bir Windows arka kapısı gönderiyor
Darryl Linington, 2026-05- 8 (Update: 2026-05- 8)