Campagne PlugX cible les utilisateurs de Claude AI via de faux sites d'installation
Des acteurs malveillants ont lancé une campagne de logiciels malveillants sophistiquée le 13 avril 2026, distribuant le cheval de Troie d'accès à distance PlugX via de faux sites web d'Anthropic Claude AI. L'attaque utilise des techniques de chargement de DLL pour contourner les contrôles de sécurité et établir un accès à distance persistant sur les systèmes victimes tout en imitant le processus d'installation légitime de Claude AI.
La campagne malveillante cible spécifiquement les utilisateurs cherchant à télécharger le logiciel Claude AI en créant des sites web répliques convaincants qui reflètent de près l'image de marque officielle et l'interface utilisateur d'Anthropic. Lorsque les victimes tentent de télécharger ce qu'elles croient être l'application Claude légitime, elles reçoivent à la place un package d'installation armé contenant la charge utile du RAT PlugX intégrée dans des fichiers apparemment légitimes.
PlugX représente un cheval de Troie d'accès à distance bien établi qui a été activement utilisé par divers groupes de menaces depuis 2012. Le logiciel malveillant offre aux attaquants des capacités de contrôle système complètes, y compris l'accès au système de fichiers, la manipulation de processus, la modification du registre et les fonctions de communication réseau. Cette variante particulière démontre des techniques d'évasion avancées spécifiquement conçues pour éviter la détection par les solutions de sécurité des points de terminaison modernes.
La chaîne d'attaque commence lorsque les utilisateurs naviguent vers le site frauduleux de Claude et initient le processus de téléchargement. Le package d'installation malveillant contient des fichiers d'apparence légitime aux côtés de la charge utile PlugX, utilisant le chargement de DLL pour exécuter le logiciel malveillant via des processus Windows de confiance. Cette technique exploite le mécanisme de chargement de la bibliothèque de liens dynamiques de Windows pour exécuter du code malveillant dans le contexte d'applications légitimes, rendant la détection beaucoup plus difficile pour les outils de sécurité traditionnels.
Les chercheurs en sécurité ont identifié plusieurs domaines hébergeant ces fausses installations de Claude, les acteurs de la menace démontrant un effort considérable pour maintenir la tromperie. Les sites web incluent des informations détaillées sur le produit, des témoignages d'utilisateurs et de la documentation de support qui reflètent de près les supports marketing légitimes d'Anthropic. Ce niveau de sophistication suggère que la campagne cible à la fois les utilisateurs individuels et les environnements d'entreprise où l'adoption de Claude AI est en augmentation.
Les utilisateurs d'entreprise et individuels de Claude AI font face à des attaques ciblées
La campagne affecte principalement les organisations et les individus cherchant activement à déployer des solutions Claude AI dans leurs environnements. Les utilisateurs d'entreprise représentent des cibles particulièrement précieuses en raison de leur accès à des données d'entreprise sensibles, à la propriété intellectuelle et à l'infrastructure réseau. Les entreprises des secteurs de la technologie, de la finance, de la santé et du conseil qui ont exprimé un intérêt pour l'intégration de l'IA font face à un risque accru de cette campagne.
Les utilisateurs individuels téléchargeant Claude AI pour des raisons de productivité personnelle, de recherche ou de développement tombent également dans le champ d'attaque. Les acteurs de la menace semblent jeter un large filet, ciblant quiconque recherche des fichiers d'installation de Claude AI via des moteurs de recherche ou une navigation directe vers des domaines usurpés. Les utilisateurs opérant sur des systèmes Windows sur toutes les versions prises en charge restent vulnérables à la technique de chargement de DLL employée par cette variante de PlugX.
La méthodologie d'attaque suggère une efficacité particulière contre les utilisateurs qui contournent les canaux de distribution officiels ou téléchargent des logiciels à partir de sources non officielles. Les organisations avec des capacités de détection des points de terminaison insuffisantes ou celles manquant de solutions de filtrage web complètes font face à une exposition accrue. Les travailleurs à distance et les équipes distribuées accédant aux outils d'IA à partir de dispositifs personnels ou de réseaux non gérés représentent des populations à haut risque supplémentaires pour cette campagne.
La technique de chargement de DLL permet un déploiement furtif de PlugX
Le déploiement de PlugX repose sur le chargement de DLL, une technique qui exploite le comportement de chargement de bibliothèque de Windows pour exécuter du code malveillant via des processus légitimes. Lorsque les utilisateurs exécutent le faux installateur de Claude, le logiciel malveillant place un fichier DLL malveillant dans le même répertoire qu'un exécutable Windows légitime. Le processus légitime charge ensuite la DLL malveillante au lieu de la bibliothèque système attendue, fournissant à l'attaquant une exécution de code dans un contexte de processus de confiance.
Les organisations peuvent détecter des infections potentielles de PlugX en surveillant les modèles de chargement de DLL inhabituels et les connexions réseau inattendues à partir de processus Windows légitimes. Les équipes de sécurité devraient mettre en œuvre des solutions complètes de détection et de réponse des points de terminaison capables d'identifier les tentatives de chargement de DLL et les anomalies comportementales associées à l'activité des chevaux de Troie d'accès à distance. La surveillance du réseau devrait se concentrer sur l'identification des communications de commande et de contrôle qui peuvent indiquer un déploiement réussi de PlugX.
Le logiciel malveillant inclut des mécanismes de nettoyage sophistiqués conçus pour supprimer les artefacts d'installation et réduire les preuves médico-légales après un déploiement réussi. Cette capacité d'auto-nettoyage rend la réponse aux incidents et la chasse aux menaces plus difficiles, nécessitant une surveillance proactive et des capacités avancées de détection des menaces. Les professionnels de la sécurité devraient maintenir des flux de renseignement sur les menaces à jour et mettre en œuvre des outils d'analyse comportementale capables d'identifier les modèles de commande et de contrôle de PlugX.
Les étapes de mitigation immédiates incluent le blocage de l'accès aux domaines malveillants connus hébergeant de fausses installations de Claude et la mise en œuvre de listes blanches d'applications pour empêcher l'exécution de fichiers exécutables non autorisés. Les organisations devraient également éduquer les utilisateurs sur l'importance de télécharger des logiciels exclusivement à partir de sites web de fournisseurs officiels et de mettre en œuvre une authentification multi-facteurs pour les systèmes critiques qui pourraient être compromis par des infections de chevaux de Troie d'accès à distance.
