Notebookcheck Logo

Un faux site web Claude AI diffuse une porte dérobée Windows dans les résultats de recherche de Google

Un faux site web Claude AI imite l'interface légitime claude.com pour proposer la porte dérobée Beagle Windows par le biais de résultats de recherche sponsorisés par Google.
ⓘ www.cape.co
Un faux site web Claude AI imite l'interface légitime claude.com pour proposer la porte dérobée Beagle Windows par le biais de résultats de recherche sponsorisés par Google.
Un faux site web de Claude AI diffuse la porte dérobée Beagle Windows par le biais des résultats de recherche sponsorisés de Google en utilisant un programme d'installation Claude-Pro Relay trojanisé qui déploie silencieusement un outil d'accès à distance.
AI Windows Software Security Business Laptop / Notebook Desktop

Un faux site web Claude AI diffuse une nouvelle porte dérobée Windows par le biais de résultats de recherche sponsorisés par Google. Le domaine malveillant, claude-pro[.]com, se présente comme la véritable interface Claude et propose un faux outil appelé Claude-Pro Relay. Sophos X-Ops a publié aujourd'hui son analyse complète de la campagne. Malwarebytes l'a trouvée en premier.

La campagne s'adresse aux développeurs. Le site vend Claude-Pro Relay comme un "service de relais haute performance conçu spécifiquement pour les développeurs de Claude Code" La seule chose que vous pouvez faire sur la page est de cliquer sur un bouton de téléchargement. Vous obtenez alors un fichier ZIP de 505 Mo appelé Claude-Pro-windows-x64.zip, qui contient un programme d'installation MSI. Le programme d'installation dépose trois fichiers dans le dossier de démarrage de Windows : un programme de mise à jour antivirus G Data légitime et signé, renommé NOVupdate.exe, un fichier de données crypté et une DLL malveillante nommée avk.dll. Il s'installe dans C:NProgram Files (x86)NAnthropicNClaudeNCluadeN - notez la faute d'orthographe - mais personne ne vérifie le chemin d'installation.

Fonctionnement de la chaîne d'infection

Le binaire signé de G Data est utilisé pour charger latéralement avk.dll. C'est là le cœur de la technique : emprunter la confiance d'un outil de sécurité légitime pour contourner les défenses. La DLL décrypte la charge utile chiffrée à l'aide d'une clé XOR inversée, la transmet à DonutLoader et DonutLoader introduit la porte dérobée Beagle sur le système.

Beagle téléphone à licence[.]claude-pro[.]com sur le port TCP 443 ou le port UDP 8080. Le trafic est chiffré à l'aide d'une clé AES codée en dur, de sorte qu'il ressemble à un protocole HTTPS normal pour quiconque observe le trafic. La porte dérobée exécute huit commandes : exécution d'un shell, transfert de fichiers, énumération de répertoires et suppression automatique. Cela suffit pour obtenir un accès à distance complet. Il n'a rien à voir avec le vieux ver Beagle de 2004, basé sur Delphi de 2004, basé sur Delphi - un nom différent, une bête complètement différente.

Sophos s'attendait à trouver PlugX. La configuration du sideloading - binaire G Data, avk.dll, charge utile cryptée par XOR - est la même chaîne que celle documentée par le Lab52 en février 2026 dans une campagne PlugX qui utilisait de fausses invitations à des réunions. La charge utile était différente. Sophos pense maintenant que l'attaquant a soit réorganisé une chaîne connue, soit emprunté la technique à un autre groupe.

Les opérateurs ne sont pas restés inactifs. Malwarebytes les a repérés en train de changer de fournisseur d'e-mails en vrac, passant de Kingmailer à CampaignLark en avril 2026, en faisant tourner l'infrastructure pour garder une longueur d'avance sur les listes de blocage. Le serveur d'hébergement lui-même a été mis en place en mars 2026, ce qui place le début de la campagne environ six semaines avant la divulgation publique d'aujourd'hui.

Un modèle d'attaques par l'IA

C'est la troisième fois en un an environ que des attaquants utilisent la marque d'un outil d'intelligence artificielle pour mener une campagne de téléchargement latéral de DLL sur https://www.malwarebytes.com/blog/scams/2026/04/fake-claude-site-installs-malware-that-gives-attackers-access-to-your-computer. En mars 2026, Bitdefender a repéré de fausses pages Claude Code diffusées par le biais de Google Ads, utilisant ClickFix pour inciter les développeurs à coller des commandes terminales malveillantes. Auparavant, de faux sites d'installation de DeepSeek avaient exécuté la même chaîne de téléchargement latéral au début de l'année 2025. La marque de l'IA évolue en fonction des tendances de la recherche. La méthode d'infection, elle, ne change pas.

La campagne se déroule dans les résultats de recherche sponsorisés, ce qui signifie que le faux site se trouve au-dessus de la vraie liste Claude pour tous ceux qui ont fait une recherche et cliqué sans vérifier le domaine. Claude n'est disponible que sur claude.com. Anthropic n'a pas publié de site appelé Claude-Pro Relay. Sophos indique que trouver NOVupdate.exe ou avk.dll dans le dossier de démarrage de Windows est un signe fiable que la machine est compromise.

Notebookcheck a précédemment couvert un incident distinct dans lequel un agent de codage d Agent de codage d'IA fonctionnant à l'intérieur de Cursor a supprimé de manière autonome la totalité de la base de données de production d'une startup et toutes les sauvegardes sans la confirmation de l'utilisateur, soulignant les risques croissants liés au déploiement d'outils d'IA sans les garanties appropriées

Please share our article, every link counts!
Mail Logo

Articles en relation

> Revues et rapports de ordinateurs portatifs et smartphones, ordiphones > Nouvelles > Archives des nouvelles > Archives des nouvelles 2026 05 > Un faux site web Claude AI diffuse une porte dérobée Windows dans les résultats de recherche de Google
Darryl Linington, 2026-05- 8 (Update: 2026-05- 8)