){kind=link}
Um site falso que imitava o do Claude, inteligência artificial da Anthropic, estava distribuindo um trojan de acesso remoto. A partir do domínio, os criminosos faziam as vítimas baixarem um arquivo ZIP, que se instalado e executado, funcionava como uma cópia do Claude.
No entanto, em segundo plano, o arquivo instalava uma cadeia de malware PlugX, que concede acesso remoto ao sistema da vítima para os criminosos. A descoberta é da Malwarebytes Labs.
smart_display
Nossos vídeos em destaque
O site falso imita uma página oficial de download da versão “Pro” do Claude, por meio de um arquivo chamado Claude-Pro-windows-x63.zip. Os registros DNS passivos, banco de dados histórico que registra como os domínios foram mapeados para endereços IP ao longo do tempo, mostram que o site tem uma infraestrutura ativa de envio de e-mails.
Essas mensagens são enviadas por duas plataformas comerciais de e-mail marketing, o Kingmailer e o CampaignLark.
Como funciona o golpe
O arquivo ZIP tem um instalador Microsoft Software Installer (MSI), um formato de pacote do Windows usado para instalar, atualizar ou remover programas, que faz o download em um caminho criado para imitar uma instalação legítima.
O MSI cria um atalho na área de trabalho, que quando clicado pela vítima, executa um dropper em VBScript. Isso é, um script malicioso (arquivo .vbs) projetado para baixar, criar ou executar cargas úteis adicionais no computador da vítima.
O que isso faz é localizar o arquivo malicioso e executá-lo em primeiro plano. Depois disso, o dropper cria um novo atalho na área de trabalho, que faz com que a vítima continue tendo um atalho funcional, enquanto o original se torna inválido.
)
Enquanto o aplicativo legítimo roda em primeiro plano, o VBScript copia silenciosamente três arquivos para a pasta de inicialização do Windows. Entre eles estão o executável NOVUpdate.exe, a DLL avk.dll e o arquivo de dados criptografado NOVUpdate.exe.dat. Em seguida, executa o NOVUpdate.exe com janela oculta, sem que nada apareça na tela.
PlugX é usado desde 2008
O NOVUpdate.exe é um executável legítimo e assinado do antivírus G DATA, mas aqui está o truque. Quando roda, ele tenta carregar a avk.dll do próprio diretório, como faria normalmente. O invasor simplesmente substituiu esse componente por uma versão maliciosa. Usar um binário assinado como hospedeiro é justamente o que dificulta a detecção. Para ferramentas de segurança, o executável principal parece inofensivo.
Essa técnica é chamada de DLL sideloading (T1574.002 no catálogo MITRE ATT&CK). A DLL maliciosa, por sua vez, lê e descriptografa a carga útil escondida no arquivo .dat. O executável confiável, DLL trojanizada e payload criptografado são marca registrada do PlugX, um trojan de acesso remoto usado em campanhas de espionagem desde pelo menos 2008.
)
A análise comportamental em ambiente isolado confirmou partes essenciais da cadeia de execução. O WScript.exe foi observado despejando NOVUpdate.exe e avk.dll na pasta de inicialização — e apenas 22 segundos depois, o NOVUpdate.exe já havia estabelecido sua primeira conexão TCP de saída com o IP 8.217.190.58 na porta 443, repetida várias vezes durante o período de observação.
O endereço pertence a um intervalo da Alibaba Cloud, provedora frequentemente usada como infraestrutura de comando e controle. O fato de ser um provedor de nuvem, por si só, não confirma envolvimento malicioso.
A sandbox também registrou o NOVUpdate.exe modificando a chave de registro HKLM\System\CurrentControlSet\Services\Tcpip\Parameters, relacionada à configuração de rede TCP/IP.
)
O dropper apaga os próprios rastros
Após implantar os arquivos, o VBScript grava um pequeno arquivo batch chamado ~del.vbs.bat que aguarda dois segundos e então apaga tanto o script original quanto o próprio batch. Quando um usuário ou analista vai procurar o dropper, ele simplesmente não está mais no disco.
O script também envolve toda a seção maliciosa em uma instrução On Error Resume Next, ignorando erros silenciosamente para que falhas na implantação não gerem alertas visíveis na tela.
Uma técnica conhecida com uma nova isca
Esse padrão de sideloading — avk.dll maliciosa, executável legítimo da G DATA e payload criptografado com XOR — foi documentado pelo Lab52 em fevereiro de 2026 no relatório “PlugX Meeting Invitation via MSBuild and GDATA”.
)
Naquela campanha, e-mails de phishing usavam convites falsos de reunião para distribuir um pacote de três arquivos praticamente idêntico. A diferença é só no nome do arquivo de payload: o Lab52 registrou AVKTray.dat; esta campanha usa NOVUpdate.exe.dat.
O PlugX é historicamente associado a agentes de espionagem ligados a interesses do Estado chinês, mas seu código-fonte circula em fóruns clandestinos, o que amplia o leque de possíveis operadores. Atribuição baseada apenas nas ferramentas usadas não é definitiva.
O que está claro para os pesquisadores é que os autores combinaram uma técnica comprovada com uma isca oportuna, aproveitando a popularidade crescente das ferramentas de IA para induzir usuários a executar um instalador trojanizado.
)
Como verificar se você foi afetado
Essa campanha funciona justamente porque tudo parece normal: o aplicativo é instalado, abre e funciona como esperado, enquanto a cadeia de sideloading roda silenciosamente em segundo plano.
Verifique a pasta de inicialização em busca de NOVUpdate.exe, avk.dll ou NOVUpdate.exe.dat. Se encontrar algum desses arquivos, desconecte o dispositivo da internet imediatamente.
Procure também pelo diretório com erro de grafia C:\Program Files (x86)\Anthropic\Claude\Cluade\ no sistema.
)
Em seguida, execute uma varredura completa com o Malwarebytes, verifique logs de firewall ou proxy em busca de conexões para 8.217.190.58 e troque as senhas de todas as contas acessadas no computador — variantes do PlugX podem incluir keylogging e roubo de credenciais.
Para se manter seguro, baixe o Claude exclusivamente pelo site oficial em claude.com/download, evite links em e-mails, anúncios ou versões “Pro” fora dos canais oficiais, e mantenha uma solução antimalware atualizada com proteção em tempo real.
Acompanhe o TecMundo nas redes sociais. Para mais notícias sobre tecnologia e segurança, inscreva-se em nosso canal do YouTube e em nossa newsletter.