Les attaquants lancent une campagne sophistiquée d'usurpation de Claude AI
Les chercheurs en sécurité ont découvert une campagne malveillante le 6 mai 2026, où des cybercriminels ont créé une réplique convaincante du site officiel de Claude AI pour distribuer un malware précédemment non documenté. Le faux site propose des téléchargements pour "Claude-Pro Relay", un service premium inexistant qui livre en réalité la porte dérobée Beagle aux utilisateurs Windows non avertis.
Le site frauduleux imite l'interface légitime de Claude AI d'Anthropic avec une précision remarquable, y compris le branding approprié, les schémas de couleurs et les éléments de l'interface utilisateur. Les attaquants ont enregistré un nom de domaine ressemblant étroitement au service officiel de Claude AI, utilisant des substitutions de caractères subtiles qui rendent la détection difficile lors d'une navigation occasionnelle. Le site se présente comme offrant des capacités AI améliorées via le service fictif Claude-Pro Relay.
Lorsque les utilisateurs tentent de télécharger le supposé logiciel premium Claude, ils reçoivent un fichier exécutable Windows qui semble légitime mais contient la porte dérobée Beagle. Ce malware représente une nouvelle souche qui n'a pas été documentée dans les bases de données de renseignement sur les menaces existantes, suggérant que les attaquants ont développé des outils personnalisés spécifiquement pour cette campagne. La porte dérobée établit un accès persistant aux systèmes infectés tout en maintenant un profil bas pour éviter la détection par les solutions antivirus traditionnelles.
La campagne démontre des tactiques sophistiquées d'ingénierie sociale, exploitant la popularité croissante des services AI et le désir des utilisateurs d'accéder à des fonctionnalités premium. Les analystes de sécurité ont noté que le faux site inclut des témoignages convaincants, des comparaisons de fonctionnalités et des informations tarifaires qui pourraient facilement tromper les utilisateurs non familiers avec les offres de services réelles d'Anthropic. Les attaquants ont clairement investi un temps considérable pour créer une façade crédible pour leur opération de distribution de malware.
Les utilisateurs Windows et les passionnés d'AI font face à un risque principal
La campagne malveillante cible spécifiquement les utilisateurs Windows sur toutes les versions prises en charge, y compris les systèmes Windows 10 et Windows 11. Les utilisateurs qui recherchent activement des outils de productivité AI ou suivent les développements des services d'intelligence artificielle courent le plus grand risque de rencontrer cette menace. Le faux site apparaît dans les résultats de recherche lorsque les utilisateurs recherchent des alternatives à Claude AI ou des services AI premium, le rendant particulièrement dangereux pour les professionnels et les passionnés explorant de nouvelles capacités AI.
Les environnements d'entreprise où les employés ont des privilèges administratifs ou peuvent installer des logiciels de manière indépendante font face à une exposition significative. La porte dérobée Beagle peut établir un accès initial que les attaquants pourraient exploiter plus tard pour des mouvements latéraux, l'exfiltration de données ou le déploiement de charges malveillantes supplémentaires. Les organisations dans les secteurs technologique, de la recherche et des industries créatives où l'adoption d'outils AI est courante devraient faire preuve d'une prudence particulière.
Les utilisateurs à domicile qui téléchargent des logiciels à partir de sources non officielles ou cliquent sur des résultats de recherche sponsorisés représentent également des cibles de choix. Le succès de la campagne repose sur la méconnaissance des utilisateurs des offres de services légitimes de Claude AI et leur volonté de télécharger des logiciels à partir de sites convaincants mais frauduleux. Les établissements d'enseignement où les étudiants et le corps professoral expérimentent des outils AI pourraient également être exposés si les utilisateurs rencontrent le site malveillant à travers des recherches académiques ou des activités de cours.
Analyse technique de la porte dérobée Beagle et étapes de mitigation
La porte dérobée Beagle utilise plusieurs techniques sophistiquées pour maintenir la persistance et éviter la détection sur les systèmes Windows infectés. Lors de l'exécution, le malware crée des entrées de registre dans HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run pour assurer le démarrage automatique à chaque démarrage du système. Il établit également des canaux de communication réseau utilisant des protocoles chiffrés qui se fondent dans les modèles de trafic web normaux.
Les administrateurs système devraient immédiatement mettre en œuvre un filtrage DNS pour bloquer l'accès au domaine frauduleux de Claude AI et effectuer une surveillance réseau pour des connexions sortantes inhabituelles depuis les postes de travail. Les organisations peuvent utiliser des commandes PowerShell pour rechercher des entrées de registre suspectes et des artefacts de système de fichiers associés à la porte dérobée Beagle. Windows Defender et d'autres solutions de protection des points de terminaison devraient être mis à jour avec les derniers flux de renseignement sur les menaces pour détecter cette nouvelle souche de malware.
Les utilisateurs qui soupçonnent une infection devraient déconnecter immédiatement les systèmes affectés du réseau et effectuer des analyses complètes de malware en utilisant des logiciels de sécurité mis à jour. Le catalogue des vulnérabilités exploitées connues de la CISA fournit des conseils sur la sécurisation des systèmes Windows contre des menaces similaires. Les équipes informatiques devraient également consulter le guide de mise à jour du Microsoft Security Response Center pour les derniers correctifs de sécurité qui pourraient prévenir l'exploitation des vulnérabilités système.
Les mesures de prévention incluent la mise en œuvre de listes blanches d'applications, la restriction des privilèges des utilisateurs pour l'installation de logiciels, et la conduite de formations de sensibilisation à la sécurité axées sur l'identification des sites frauduleux. Les organisations devraient établir des politiques claires pour le téléchargement et l'installation d'outils AI ou d'autres logiciels de productivité, nécessitant une approbation via des canaux officiels plutôt que de permettre aux utilisateurs de se procurer des applications de manière indépendante sur Internet.
