网络安全公司Sophos X-Ops近日发现,一个仿冒Anthropic旗下Claude AI的钓鱼网站claude-pro[.]com正在向Windows用户分发一种此前未被记录的远程后门程序Beagle。该网站模仿了正版Claude界面,但实际用于恶意软件传播。攻击者在该网站上提供名为“Claude-Pro Relay”的虚假工具,用户下载的约505MB ZIP压缩包中隐藏着恶意载荷。
Sophos分析显示,Beagle通过DLL侧加载链植入系统,攻击者滥用了一个经过签名的G DATA防病毒更新程序二进制文件,配合加密数据文件实现隐蔽执行。研究人员最初怀疑这是PlugX变种,因为今年2月Lab52的报告曾描述过类似的签名二进制文件与avk.dll侧加载组合。但进一步确认后发现,Beagle是一个全新的后门程序。该恶意域名的托管服务器于2026年3月建立,目前该攻击仍在进行中,属于一场活跃的恶意广告宣传活动的一部分。
