Компания по кибербезопасности Sophos X-Ops недавно обнаружила фишинговый сайт claude-pro[.]com, который имитирует Claude AI от Anthropic и распространяет ранее незадокументированный бэкдор Beagle среди пользователей Windows. Сайт копирует интерфейс оригинального Claude, но на самом деле служит для распространения вредоносного ПО. Атакующие предлагают на сайте фальшивый инструмент под названием «Claude-Pro Relay»; загружаемый ZIP-архив размером около 505 МБ скрывает вредоносную нагрузку.
Анализ Sophos показал, что Beagle проникает в систему через цепочку боковой загрузки DLL. Злоумышленники злоупотребляют подписанным бинарником обновления антивируса G DATA, используя его вместе с зашифрованным файлом данных для скрытого выполнения. Изначально исследователи подозревали, что это вариант PlugX – в феврале этого года отчёт Lab52 описывал похожую комбинацию подписанного бинарника и боковой загрузки avk.dll. Однако дальнейшая проверка подтвердила, что Beagle – это совершенно новый бэкдор. Хостинг мошеннического домена был создан в марте 2026 года, и атака продолжается до сих пор, являясь частью активной кампании по вредоносной рекламе.
