sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Posto de Monta recebe coleta de plásticos agrícolas para reciclagem nesta quinta-feira
14 de julho de 2026
Jogos Parasul-Americanos: Brasil e Argentina decidem futebol de cegos
14 de julho de 2026
DeepSeek avalia nova captação e pode atingir valor de US$ 71 bi
14 de julho de 2026
Bragança Shopping realiza Oficina de Minions com participação dos personagens durante as férias escolares
14 de julho de 2026
terça-feira, julho 14, 2026
Top Posts
Posto de Monta recebe coleta de plásticos agrícolas...
Jogos Parasul-Americanos: Brasil e Argentina decidem futebol de...
DeepSeek avalia nova captação e pode atingir valor...
Bragança Shopping realiza Oficina de Minions com participação...
Fracasso de Moana nos cinemas coloca dúvidas sobre...
Monitor gamer em promoção no Magalu: eleve o...
Bragança Paulista registra menor temperatura do ano e...
Falha ‘rara’ permitiu o roubo de segredos comerciais,...
Waze ganha modo para motos e passa a...
Luísa Sonza faz top 10 de melhores jogos...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Posto de Monta recebe coleta de plásticos agrícolas para reciclagem nesta quinta-feira
14 de julho de 2026
Jogos Parasul-Americanos: Brasil e Argentina decidem futebol de cegos
14 de julho de 2026
DeepSeek avalia nova captação e pode atingir valor de US$ 71 bi
14 de julho de 2026
Bragança Shopping realiza Oficina de Minions com participação dos personagens durante as férias escolares
14 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Posto de Monta recebe coleta de plásticos agrícolas para reciclagem nesta quinta-feira
14 de julho de 2026
Jogos Parasul-Americanos: Brasil e Argentina decidem futebol de cegos
14 de julho de 2026
DeepSeek avalia nova captação e pode atingir valor de US$ 71 bi
14 de julho de 2026
Bragança Shopping realiza Oficina de Minions com participação dos personagens durante as férias escolares
14 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

Site falso do Claude distribui vírus que permite invasão remota a PCs

por SampaNews 13 de abril de 2026
13 de abril de 2026
33

Um site falso que imitava o do Claude, inteligência artificial da Anthropic, estava distribuindo um trojan de acesso remoto. A partir do domínio, os criminosos faziam as vítimas baixarem um arquivo ZIP, que se instalado e executado, funcionava como uma cópia do Claude. 

No entanto, em segundo plano, o arquivo instalava uma cadeia de malware PlugX, que concede acesso remoto ao sistema da vítima para os criminosos. A descoberta é da Malwarebytes Labs.

smart_display

Nossos vídeos em destaque

O site falso imita uma página oficial de download da versão “Pro” do Claude, por meio de um arquivo chamado Claude-Pro-windows-x63.zip. Os registros DNS passivos, banco de dados histórico que registra como os domínios foram mapeados para endereços IP ao longo do tempo, mostram que o site tem uma infraestrutura ativa de envio de e-mails. 

Página fraudulenta que imitava um serviço oficial relacionado ao Claude para atrair vítimas ao download do instalador trojanizado. O domínio contava com infraestrutura ativa de envio de e-mails por plataformas comerciais de marketing. Imagem: Malwarebytes Labs.

Essas mensagens são enviadas por duas plataformas comerciais de e-mail marketing, o Kingmailer e o CampaignLark.

Como funciona o golpe

O arquivo ZIP tem um instalador Microsoft Software Installer (MSI), um formato de pacote do Windows usado para instalar, atualizar ou remover programas, que faz o download em um caminho criado para imitar uma instalação legítima. 

O MSI cria um atalho na área de trabalho, que quando clicado pela vítima, executa um dropper em VBScript. Isso é, um script malicioso (arquivo .vbs) projetado para baixar, criar ou executar cargas úteis adicionais no computador da vítima.

O que isso faz é localizar o arquivo malicioso e executá-lo em primeiro plano. Depois disso, o dropper cria um novo atalho na área de trabalho, que faz com que a vítima continue tendo um atalho funcional, enquanto o original se torna inválido.

claude pro falso (2).png
Trecho do script dropper mostra os comandos que copiam os três arquivos maliciosos para a pasta de inicialização do Windows e executam o NOVUpdate.exe com janela oculta (estilo 0). Ao final, o script grava o batch ~del.vbs.bat para apagar os próprios rastros do disco. Imagem: Malwarebytes Labs.

Enquanto o aplicativo legítimo roda em primeiro plano, o VBScript copia silenciosamente três arquivos para a pasta de inicialização do Windows. Entre eles estão o executável NOVUpdate.exe, a DLL avk.dll e o arquivo de dados criptografado NOVUpdate.exe.dat. Em seguida, executa o NOVUpdate.exe com janela oculta, sem que nada apareça na tela.

PlugX é usado desde 2008

O NOVUpdate.exe é um executável legítimo e assinado do antivírus G DATA, mas aqui está o truque. Quando roda, ele tenta carregar a avk.dll do próprio diretório, como faria normalmente. O invasor simplesmente substituiu esse componente por uma versão maliciosa. Usar um binário assinado como hospedeiro é justamente o que dificulta a detecção. Para ferramentas de segurança, o executável principal parece inofensivo.

Essa técnica é chamada de DLL sideloading (T1574.002 no catálogo MITRE ATT&CK). A DLL maliciosa, por sua vez, lê e descriptografa a carga útil escondida no arquivo .dat. O executável confiável, DLL trojanizada e payload criptografado são marca registrada do PlugX, um trojan de acesso remoto usado em campanhas de espionagem desde pelo menos 2008.

claude pro falso (1).png
Os quatro arquivos presentes no diretório de instalação falso: o VBScript Claude, a DLL trojanizada avk.dll, o executável NOVUpdate e o payload criptografado NOVUpdate.exe.dat. O painel de propriedades confirma que o NOVUpdate.exe é um binário legítimo e assinado do G DATA Antivirus, versão 25.1.0.0, datado de junho de 2018. Imagem: Malwarebytes Labs.

A análise comportamental em ambiente isolado confirmou partes essenciais da cadeia de execução. O WScript.exe foi observado despejando NOVUpdate.exe e avk.dll na pasta de inicialização — e apenas 22 segundos depois, o NOVUpdate.exe já havia estabelecido sua primeira conexão TCP de saída com o IP 8.217.190.58 na porta 443, repetida várias vezes durante o período de observação.

O endereço pertence a um intervalo da Alibaba Cloud, provedora frequentemente usada como infraestrutura de comando e controle. O fato de ser um provedor de nuvem, por si só, não confirma envolvimento malicioso.

A sandbox também registrou o NOVUpdate.exe modificando a chave de registro HKLM\System\CurrentControlSet\Services\Tcpip\Parameters, relacionada à configuração de rede TCP/IP.

tela-com-linhas-de-codigo
O PlugX é classificado como um trojan de acesso remoto — uma vez instalado, abre uma porta para que os invasores operem no sistema da vítima sem qualquer sinal visível na tela.

O dropper apaga os próprios rastros

Após implantar os arquivos, o VBScript grava um pequeno arquivo batch chamado ~del.vbs.bat que aguarda dois segundos e então apaga tanto o script original quanto o próprio batch. Quando um usuário ou analista vai procurar o dropper, ele simplesmente não está mais no disco. 

O script também envolve toda a seção maliciosa em uma instrução On Error Resume Next, ignorando erros silenciosamente para que falhas na implantação não gerem alertas visíveis na tela.

Uma técnica conhecida com uma nova isca

Esse padrão de sideloading — avk.dll maliciosa, executável legítimo da G DATA e payload criptografado com XOR — foi documentado pelo Lab52 em fevereiro de 2026 no relatório “PlugX Meeting Invitation via MSBuild and GDATA”. 

trivy-nuvem.png
O endereço IP contactado pelo malware pertence a um intervalo da Alibaba Cloud. Provedores de hospedagem em nuvem são frequentemente usados como infraestrutura de comando e controle por oferecerem anonimato e facilidade de rotação de endereços.

Naquela campanha, e-mails de phishing usavam convites falsos de reunião para distribuir um pacote de três arquivos praticamente idêntico. A diferença é só no nome do arquivo de payload: o Lab52 registrou AVKTray.dat; esta campanha usa NOVUpdate.exe.dat.

O PlugX é historicamente associado a agentes de espionagem ligados a interesses do Estado chinês, mas seu código-fonte circula em fóruns clandestinos, o que amplia o leque de possíveis operadores. Atribuição baseada apenas nas ferramentas usadas não é definitiva.

O que está claro para os pesquisadores é que os autores combinaram uma técnica comprovada com uma isca oportuna, aproveitando a popularidade crescente das ferramentas de IA para induzir usuários a executar um instalador trojanizado.

claude-anthropic-ia.jpg
O aplicativo legítimo do Claude, da Anthropic, está disponível nas lojas oficiais. A campanha explorou a popularidade crescente da ferramenta para convencer usuários a baixar um instalador fraudulento fora dos canais oficiais.

Como verificar se você foi afetado

Essa campanha funciona justamente porque tudo parece normal: o aplicativo é instalado, abre e funciona como esperado, enquanto a cadeia de sideloading roda silenciosamente em segundo plano.

Verifique a pasta de inicialização em busca de NOVUpdate.exe, avk.dll ou NOVUpdate.exe.dat. Se encontrar algum desses arquivos, desconecte o dispositivo da internet imediatamente.

Procure também pelo diretório com erro de grafia C:\Program Files (x86)\Anthropic\Claude\Cluade\ no sistema. 

malware-anydesk.jpg
A cadeia de infecção é projetada para não gerar nenhum alerta visível: o instalador funciona normalmente, o dropper apaga os próprios rastros e o malware roda silenciosamente em segundo plano desde a próxima inicialização do sistema.

Em seguida, execute uma varredura completa com o Malwarebytes, verifique logs de firewall ou proxy em busca de conexões para 8.217.190.58 e troque as senhas de todas as contas acessadas no computador — variantes do PlugX podem incluir keylogging e roubo de credenciais.

Para se manter seguro, baixe o Claude exclusivamente pelo site oficial em claude.com/download, evite links em e-mails, anúncios ou versões “Pro” fora dos canais oficiais, e mantenha uma solução antimalware atualizada com proteção em tempo real.

Acompanhe o TecMundo nas redes sociais. Para mais notícias sobre tecnologia e segurança, inscreva-se em nosso canal do YouTube e em nossa newsletter.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
Claude Code abriu vantagem e a corrida da IA ficou mais interessante em 2026
próxima postagem
Motorola Razr 70 Ultra tem especificações vazadas; confira

Você também pode gostar

DeepSeek avalia nova captação e pode atingir valor...

14 de julho de 2026

Fracasso de Moana nos cinemas coloca dúvidas sobre...

14 de julho de 2026

Monitor gamer em promoção no Magalu: eleve o...

14 de julho de 2026

Falha ‘rara’ permitiu o roubo de segredos comerciais,...

14 de julho de 2026

POSTS MAIS RECENTES

  • Posto de Monta recebe coleta de plásticos agrícolas para reciclagem nesta quinta-feira
  • Jogos Parasul-Americanos: Brasil e Argentina decidem futebol de cegos
  • DeepSeek avalia nova captação e pode atingir valor de US$ 71 bi
  • Bragança Shopping realiza Oficina de Minions com participação dos personagens durante as férias escolares
  • Fracasso de Moana nos cinemas coloca dúvidas sobre estratégia live action da Disney

Siga-nos

  • Recente
  • Popular
  • Posto de Monta recebe coleta de plásticos agrícolas para reciclagem nesta quinta-feira

    14 de julho de 2026
  • Jogos Parasul-Americanos: Brasil e Argentina decidem futebol de cegos

    14 de julho de 2026
  • DeepSeek avalia nova captação e pode atingir valor de US$ 71 bi

    14 de julho de 2026
  • Bragança Shopping realiza Oficina de Minions com participação dos personagens durante as férias escolares

    14 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

Monitor gamer em promoção no Magalu: eleve o...

14 de julho de 2026

Bragança Paulista registra menor temperatura do ano e...

14 de julho de 2026

Falha ‘rara’ permitiu o roubo de segredos comerciais,...

14 de julho de 2026

Waze ganha modo para motos e passa a...

14 de julho de 2026

Luísa Sonza faz top 10 de melhores jogos...

14 de julho de 2026

Leitura obrigatória

  • Posto de Monta recebe coleta de plásticos agrícolas para reciclagem nesta quinta-feira

    14 de julho de 2026
  • Jogos Parasul-Americanos: Brasil e Argentina decidem futebol de cegos

    14 de julho de 2026
  • DeepSeek avalia nova captação e pode atingir valor de US$ 71 bi

    14 de julho de 2026
  • Bragança Shopping realiza Oficina de Minions com participação dos personagens durante as férias escolares

    14 de julho de 2026
  • Fracasso de Moana nos cinemas coloca dúvidas sobre estratégia live action da Disney

    14 de julho de 2026

Newsletter

Posts relacionados

  • DeepSeek avalia nova captação e pode atingir valor de US$ 71 bi

    14 de julho de 2026
  • Fracasso de Moana nos cinemas coloca dúvidas sobre estratégia live action da Disney

    14 de julho de 2026
  • Monitor gamer em promoção no Magalu: eleve o nível da gameplay gastando menos

    14 de julho de 2026
  • Falha ‘rara’ permitiu o roubo de segredos comerciais, afirma Apple

    14 de julho de 2026
  • Luísa Sonza faz top 10 de melhores jogos do Switch, declara amor por Elden Ring e detona Genshin Impact

    14 de julho de 2026

Mais vistas da semana

⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026
⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026
Tudo sobre Witch Hat Atelier, anime de fantasia que conquistou muitos fãs
5 de julho de 2026

Postagens Aleatórias

Cadeiras gamer em promoção e com cupons de até R$50 no Magazine Luiza; aproveite
24 de fevereiro de 2026
Tereza Cristina diz estar preparada para ser vice na chapa de Flávio Bolsonaro
28 de março de 2026
“Donnylândia”? Ucrânia propõe renomear parte de região disputada em homenagem a Trump
22 de abril de 2026

Categorias Populares

  • Tecnologia (6.185)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.159)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.157)
  • Bragança Paulista (1.137)
  • Esporte (827)
  • Saúde (509)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home