Ante el creciente auge de Claude, la inteligencia artificial de Anthropic, han surgido estafas diseñadas para explotar su popularidad. Una de las más recientes involucra un sitio web que imita la página oficial de Claude, el cual, al ser visitado, instala malware en los ordenadores con Windows. Expertos en ciberseguridad de Sophos y Malwarebytes han detallado esta campaña y alertan a los usuarios para que eviten caer en la trampa, la cual podría dar acceso no autorizado a sus sistemas.
Según informes de BleepingComputer, existe un sitio web que se hace pasar por la página oficial de Claude. Este sitio utiliza una estética muy similar a la de la versión auténtica, con una paleta de colores y tipografía casi idénticas. A pesar de su apariencia convincente, se trata de una imitación deficiente, donde la mayoría de los enlaces no funcionan. El único enlace activo y peligroso es el que promueve la descarga de «Claude-Pro Relay», presentado como un «servicio de alta velocidad para desarrolladores que usan Claude Code».
El archivo comprometido, denominado Claude-Pro-windows-x64.zip, contiene un instalador que, al ejecutarse, infecta el equipo de inmediato. El malware deja tres archivos en la carpeta de inicio de Windows: NOVupdate.exe, NOVupdate.exe.dat y avk.dll.
El primer archivo, NOVupdate.exe, es un ejecutable legítimamente firmado, perteneciente al actualizador de antivirus G Data. Los ciberdelincuentes aprovechan esta firma para inyectar de forma sigilosa la DLL maliciosa, una técnica conocida como «DLL hijacking» o «side-loading», que consiste en reemplazar una biblioteca legítima por una versión manipulada. Como resultado, el sistema ejecuta código dañino bajo la apariencia de un proceso de confianza.
Una vez activa, esta DLL descifra y ejecuta en memoria el contenido del tercer archivo, que aloja un inyector de código abierto llamado DonutLoader. Este, a su vez, despliega un backdoor llamado Beagle, el cual se comunica con el servidor de control del atacante.
Capacidades del malware Beagle en tu sistema Windows
Aunque las funcionalidades de Beagle son limitadas, son suficientes para causar un daño considerable. Desde su servidor de control, los atacantes tienen la capacidad de ejecutar comandos arbitrarios, transferir archivos de ida y vuelta, crear y renombrar directorios, así como listar el contenido del sistema de archivos y eliminar el agente malicioso si lo consideran necesario. En la práctica, esto se traduce en acceso remoto casi total al equipo infectado.
Sophos ha detectado muestras de Beagle enviadas a VirusTotal entre febrero y abril de este año. Estas muestras llegaron a los sistemas a través de diversos métodos, como ejecutables de Microsoft Defender troyanizados, archivos PDF engañosos o páginas que simulaban ser actualizaciones de software de compañías como CrowdStrike.
Los investigadores sugieren que los responsables de esta campaña podrían ser los mismos que están detrás de PlugX, una conocida familia de malware, debido a las similitudes en la cadena de infección. Sin embargo, aún no hay pruebas concluyentes para una atribución definitiva.
Para mantenerte seguro, es fundamental descargar Claude exclusivamente desde la página oficial claude.ai. Cuando una aplicación o servicio gana popularidad, los ciberdelincuentes suelen emplear publicidad maliciosa en los motores de búsqueda para que sus sitios fraudulentos aparezcan como resultados patrocinados. Por lo tanto, es común que al buscar «Claude», aparezca esta web fraudulenta, lo que podría engañar a muchos usuarios.
En situaciones como esta, se recomienda ignorar o filtrar los resultados patrocinados en los motores de búsqueda al buscar herramientas de este tipo. Si sospechas que tu equipo podría estar comprometido, verifica la carpeta de inicio de Windows en busca de los archivos NOVupdate.exe, avk.dll y NOVupdate.exe.dat. La presencia de estos archivos indica que tu PC ha sido infectado.