sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Fiat Mobi Trekking: o fenômeno do carro que vende bem, mas quase ninguém compra
14 de julho de 2026
Android Auto deve ganhar novo cartão do player de mídia
14 de julho de 2026
YouTube caiu? Serviço sofre instabilidade na tarde de terça-feira (14)
14 de julho de 2026
Campanha pede à Fifa Copa do Mundo sem publicidade de refrigerante
14 de julho de 2026
terça-feira, julho 14, 2026
Top Posts
Fiat Mobi Trekking: o fenômeno do carro que...
Android Auto deve ganhar novo cartão do player...
YouTube caiu? Serviço sofre instabilidade na tarde de...
Campanha pede à Fifa Copa do Mundo sem...
Spotify ganha chatbot de IA próprio para interagir...
Echoes of Aincrad é Sword Art Online sob...
Copa Evangélica de Futsal inicia edição 2026 com...
CEO do DeepMind propõe órgão global para fiscalizar...
Posto de Monta recebe coleta de plásticos agrícolas...
Jogos Parasul-Americanos: Brasil e Argentina decidem futebol de...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Fiat Mobi Trekking: o fenômeno do carro que vende bem, mas quase ninguém compra
14 de julho de 2026
Android Auto deve ganhar novo cartão do player de mídia
14 de julho de 2026
YouTube caiu? Serviço sofre instabilidade na tarde de terça-feira (14)
14 de julho de 2026
Campanha pede à Fifa Copa do Mundo sem publicidade de refrigerante
14 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Fiat Mobi Trekking: o fenômeno do carro que vende bem, mas quase ninguém compra
14 de julho de 2026
Android Auto deve ganhar novo cartão do player de mídia
14 de julho de 2026
YouTube caiu? Serviço sofre instabilidade na tarde de terça-feira (14)
14 de julho de 2026
Campanha pede à Fifa Copa do Mundo sem publicidade de refrigerante
14 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

Site falso do Claude distribui vírus que permite invasão remota a PCs

por SampaNews 13 de abril de 2026
13 de abril de 2026
34

Um site falso que imitava o do Claude, inteligência artificial da Anthropic, estava distribuindo um trojan de acesso remoto. A partir do domínio, os criminosos faziam as vítimas baixarem um arquivo ZIP, que se instalado e executado, funcionava como uma cópia do Claude. 

No entanto, em segundo plano, o arquivo instalava uma cadeia de malware PlugX, que concede acesso remoto ao sistema da vítima para os criminosos. A descoberta é da Malwarebytes Labs.

smart_display

Nossos vídeos em destaque

O site falso imita uma página oficial de download da versão “Pro” do Claude, por meio de um arquivo chamado Claude-Pro-windows-x63.zip. Os registros DNS passivos, banco de dados histórico que registra como os domínios foram mapeados para endereços IP ao longo do tempo, mostram que o site tem uma infraestrutura ativa de envio de e-mails. 

Página fraudulenta que imitava um serviço oficial relacionado ao Claude para atrair vítimas ao download do instalador trojanizado. O domínio contava com infraestrutura ativa de envio de e-mails por plataformas comerciais de marketing. Imagem: Malwarebytes Labs.

Essas mensagens são enviadas por duas plataformas comerciais de e-mail marketing, o Kingmailer e o CampaignLark.

Como funciona o golpe

O arquivo ZIP tem um instalador Microsoft Software Installer (MSI), um formato de pacote do Windows usado para instalar, atualizar ou remover programas, que faz o download em um caminho criado para imitar uma instalação legítima. 

O MSI cria um atalho na área de trabalho, que quando clicado pela vítima, executa um dropper em VBScript. Isso é, um script malicioso (arquivo .vbs) projetado para baixar, criar ou executar cargas úteis adicionais no computador da vítima.

O que isso faz é localizar o arquivo malicioso e executá-lo em primeiro plano. Depois disso, o dropper cria um novo atalho na área de trabalho, que faz com que a vítima continue tendo um atalho funcional, enquanto o original se torna inválido.

claude pro falso (2).png
Trecho do script dropper mostra os comandos que copiam os três arquivos maliciosos para a pasta de inicialização do Windows e executam o NOVUpdate.exe com janela oculta (estilo 0). Ao final, o script grava o batch ~del.vbs.bat para apagar os próprios rastros do disco. Imagem: Malwarebytes Labs.

Enquanto o aplicativo legítimo roda em primeiro plano, o VBScript copia silenciosamente três arquivos para a pasta de inicialização do Windows. Entre eles estão o executável NOVUpdate.exe, a DLL avk.dll e o arquivo de dados criptografado NOVUpdate.exe.dat. Em seguida, executa o NOVUpdate.exe com janela oculta, sem que nada apareça na tela.

PlugX é usado desde 2008

O NOVUpdate.exe é um executável legítimo e assinado do antivírus G DATA, mas aqui está o truque. Quando roda, ele tenta carregar a avk.dll do próprio diretório, como faria normalmente. O invasor simplesmente substituiu esse componente por uma versão maliciosa. Usar um binário assinado como hospedeiro é justamente o que dificulta a detecção. Para ferramentas de segurança, o executável principal parece inofensivo.

Essa técnica é chamada de DLL sideloading (T1574.002 no catálogo MITRE ATT&CK). A DLL maliciosa, por sua vez, lê e descriptografa a carga útil escondida no arquivo .dat. O executável confiável, DLL trojanizada e payload criptografado são marca registrada do PlugX, um trojan de acesso remoto usado em campanhas de espionagem desde pelo menos 2008.

claude pro falso (1).png
Os quatro arquivos presentes no diretório de instalação falso: o VBScript Claude, a DLL trojanizada avk.dll, o executável NOVUpdate e o payload criptografado NOVUpdate.exe.dat. O painel de propriedades confirma que o NOVUpdate.exe é um binário legítimo e assinado do G DATA Antivirus, versão 25.1.0.0, datado de junho de 2018. Imagem: Malwarebytes Labs.

A análise comportamental em ambiente isolado confirmou partes essenciais da cadeia de execução. O WScript.exe foi observado despejando NOVUpdate.exe e avk.dll na pasta de inicialização — e apenas 22 segundos depois, o NOVUpdate.exe já havia estabelecido sua primeira conexão TCP de saída com o IP 8.217.190.58 na porta 443, repetida várias vezes durante o período de observação.

O endereço pertence a um intervalo da Alibaba Cloud, provedora frequentemente usada como infraestrutura de comando e controle. O fato de ser um provedor de nuvem, por si só, não confirma envolvimento malicioso.

A sandbox também registrou o NOVUpdate.exe modificando a chave de registro HKLM\System\CurrentControlSet\Services\Tcpip\Parameters, relacionada à configuração de rede TCP/IP.

tela-com-linhas-de-codigo
O PlugX é classificado como um trojan de acesso remoto — uma vez instalado, abre uma porta para que os invasores operem no sistema da vítima sem qualquer sinal visível na tela.

O dropper apaga os próprios rastros

Após implantar os arquivos, o VBScript grava um pequeno arquivo batch chamado ~del.vbs.bat que aguarda dois segundos e então apaga tanto o script original quanto o próprio batch. Quando um usuário ou analista vai procurar o dropper, ele simplesmente não está mais no disco. 

O script também envolve toda a seção maliciosa em uma instrução On Error Resume Next, ignorando erros silenciosamente para que falhas na implantação não gerem alertas visíveis na tela.

Uma técnica conhecida com uma nova isca

Esse padrão de sideloading — avk.dll maliciosa, executável legítimo da G DATA e payload criptografado com XOR — foi documentado pelo Lab52 em fevereiro de 2026 no relatório “PlugX Meeting Invitation via MSBuild and GDATA”. 

trivy-nuvem.png
O endereço IP contactado pelo malware pertence a um intervalo da Alibaba Cloud. Provedores de hospedagem em nuvem são frequentemente usados como infraestrutura de comando e controle por oferecerem anonimato e facilidade de rotação de endereços.

Naquela campanha, e-mails de phishing usavam convites falsos de reunião para distribuir um pacote de três arquivos praticamente idêntico. A diferença é só no nome do arquivo de payload: o Lab52 registrou AVKTray.dat; esta campanha usa NOVUpdate.exe.dat.

O PlugX é historicamente associado a agentes de espionagem ligados a interesses do Estado chinês, mas seu código-fonte circula em fóruns clandestinos, o que amplia o leque de possíveis operadores. Atribuição baseada apenas nas ferramentas usadas não é definitiva.

O que está claro para os pesquisadores é que os autores combinaram uma técnica comprovada com uma isca oportuna, aproveitando a popularidade crescente das ferramentas de IA para induzir usuários a executar um instalador trojanizado.

claude-anthropic-ia.jpg
O aplicativo legítimo do Claude, da Anthropic, está disponível nas lojas oficiais. A campanha explorou a popularidade crescente da ferramenta para convencer usuários a baixar um instalador fraudulento fora dos canais oficiais.

Como verificar se você foi afetado

Essa campanha funciona justamente porque tudo parece normal: o aplicativo é instalado, abre e funciona como esperado, enquanto a cadeia de sideloading roda silenciosamente em segundo plano.

Verifique a pasta de inicialização em busca de NOVUpdate.exe, avk.dll ou NOVUpdate.exe.dat. Se encontrar algum desses arquivos, desconecte o dispositivo da internet imediatamente.

Procure também pelo diretório com erro de grafia C:\Program Files (x86)\Anthropic\Claude\Cluade\ no sistema. 

malware-anydesk.jpg
A cadeia de infecção é projetada para não gerar nenhum alerta visível: o instalador funciona normalmente, o dropper apaga os próprios rastros e o malware roda silenciosamente em segundo plano desde a próxima inicialização do sistema.

Em seguida, execute uma varredura completa com o Malwarebytes, verifique logs de firewall ou proxy em busca de conexões para 8.217.190.58 e troque as senhas de todas as contas acessadas no computador — variantes do PlugX podem incluir keylogging e roubo de credenciais.

Para se manter seguro, baixe o Claude exclusivamente pelo site oficial em claude.com/download, evite links em e-mails, anúncios ou versões “Pro” fora dos canais oficiais, e mantenha uma solução antimalware atualizada com proteção em tempo real.

Acompanhe o TecMundo nas redes sociais. Para mais notícias sobre tecnologia e segurança, inscreva-se em nosso canal do YouTube e em nossa newsletter.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
Claude Code abriu vantagem e a corrida da IA ficou mais interessante em 2026
próxima postagem
Motorola Razr 70 Ultra tem especificações vazadas; confira

Você também pode gostar

Android Auto deve ganhar novo cartão do player...

14 de julho de 2026

YouTube caiu? Serviço sofre instabilidade na tarde de...

14 de julho de 2026

Spotify ganha chatbot de IA próprio para interagir...

14 de julho de 2026

Echoes of Aincrad é Sword Art Online sob...

14 de julho de 2026

POSTS MAIS RECENTES

  • Fiat Mobi Trekking: o fenômeno do carro que vende bem, mas quase ninguém compra
  • Android Auto deve ganhar novo cartão do player de mídia
  • YouTube caiu? Serviço sofre instabilidade na tarde de terça-feira (14)
  • Campanha pede à Fifa Copa do Mundo sem publicidade de refrigerante
  • Spotify ganha chatbot de IA próprio para interagir com o app e buscar músicas

Siga-nos

  • Recente
  • Popular
  • Fiat Mobi Trekking: o fenômeno do carro que vende bem, mas quase ninguém compra

    14 de julho de 2026
  • Android Auto deve ganhar novo cartão do player de mídia

    14 de julho de 2026
  • YouTube caiu? Serviço sofre instabilidade na tarde de terça-feira (14)

    14 de julho de 2026
  • Campanha pede à Fifa Copa do Mundo sem publicidade de refrigerante

    14 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

Echoes of Aincrad é Sword Art Online sob...

14 de julho de 2026

Copa Evangélica de Futsal inicia edição 2026 com...

14 de julho de 2026

CEO do DeepMind propõe órgão global para fiscalizar...

14 de julho de 2026

Posto de Monta recebe coleta de plásticos agrícolas...

14 de julho de 2026

Jogos Parasul-Americanos: Brasil e Argentina decidem futebol de...

14 de julho de 2026

Leitura obrigatória

  • Fiat Mobi Trekking: o fenômeno do carro que vende bem, mas quase ninguém compra

    14 de julho de 2026
  • Android Auto deve ganhar novo cartão do player de mídia

    14 de julho de 2026
  • YouTube caiu? Serviço sofre instabilidade na tarde de terça-feira (14)

    14 de julho de 2026
  • Campanha pede à Fifa Copa do Mundo sem publicidade de refrigerante

    14 de julho de 2026
  • Spotify ganha chatbot de IA próprio para interagir com o app e buscar músicas

    14 de julho de 2026

Newsletter

Posts relacionados

  • Android Auto deve ganhar novo cartão do player de mídia

    14 de julho de 2026
  • YouTube caiu? Serviço sofre instabilidade na tarde de terça-feira (14)

    14 de julho de 2026
  • Spotify ganha chatbot de IA próprio para interagir com o app e buscar músicas

    14 de julho de 2026
  • Echoes of Aincrad é Sword Art Online sob outra ótica

    14 de julho de 2026
  • CEO do DeepMind propõe órgão global para fiscalizar modelos avançados de IA

    14 de julho de 2026

Mais vistas da semana

⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026
⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026
Tudo sobre Witch Hat Atelier, anime de fantasia que conquistou muitos fãs
5 de julho de 2026

Postagens Aleatórias

Hospital Mário Gatti suspende tomografias e endoscopias agendadas; entenda
22 de junho de 2026
Beast of Reincarnation, novo jogo da GameFreak, ganha janela de lançamento e gameplay
23 de janeiro de 2026
EUA divulgam 2º lote de arquivos secretos sobre OVNIs; confira as revelações
22 de maio de 2026

Categorias Populares

  • Tecnologia (6.190)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.159)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.158)
  • Bragança Paulista (1.138)
  • Esporte (828)
  • Saúde (509)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home