Tren penggunaan AI kembali dimanfaatkan oleh penjahat siber. Sebuah kampanye phishing terbaru ditemukan menggunakan situs palsu yang meniru platform Claude AI untuk mendistribusikan backdoor Windows yang sebelumnya tidak terdokumentasi, yang diberi nama Beagle.
Aktor ancaman ini mengiklankan layanan “Claude-Pro Relay” yang diklaim sebagai layanan relai berperforma tinggi khusus untuk pengembang Claude-Code. Namun, alih-alih mendapatkan alat produktivitas, pengguna justru akan mengunduh paket malware yang mampu memberikan akses kendali jarak jauh kepada peretas.
Modus Operandi: Situs “Claude-Pro” Palsu
Peneliti keamanan dari Sophos dan Malwarebytes menemukan bahwa penyerang menggunakan domain claude-pro[.]com. Situs ini dirancang sangat mirip dengan situs asli Anthropic (pengembang Claude) dengan skema warna dan font yang identik.
Namun, situs ini hanyalah fasad sederhana. Hampir semua tautan di dalamnya hanya mengarah kembali ke halaman utama. Satu-satunya tombol yang berfungsi adalah tombol unduh yang akan memberikan file arsip ZIP berukuran 505 MB bernama Claude-Pro-windows-x64.zip.
Rantai Infeksi: Sideloading dan DonutLoader
Serangan ini menggunakan teknik yang cukup canggih untuk menghindari deteksi:
- DLL Sideloading: Installer MSI di dalam ZIP tersebut akan menaruh tiga file di folder Startup pengguna:
NOVupdate.exe,NOVupdate.exe.dat, danavk.dll. - Pemanfaatan File Sah:
NOVupdate.exesebenarnya adalah file updater resmi yang ditandatangani secara digital oleh perusahaan keamanan G Data. Penyerang memanfaatkan file sah ini untuk melakukan sideloading terhadapavk.dllyang berbahaya. - DonutLoader: File DLL tersebut berfungsi untuk mendekripsi dan mengeksekusi payload di dalam memori menggunakan DonutLoader (sebuah injektor in-memory sumber terbuka), sehingga tidak meninggalkan jejak di disk yang mudah dideteksi antivirus tradisional.
- Beagle Backdoor: Payload akhir adalah backdoor Beagle yang akan menetap di memori sistem.
Kemampuan Malware Beagle
Meskipun disebut sebagai backdoor yang “relatif sederhana”, Beagle memiliki rangkaian perintah yang cukup untuk menguras data atau mengendalikan sistem:
| Perintah | Deskripsi Fungsi |
| cmd | Menjalankan perintah sistem (shell) |
| upload / download | Mengunggah atau mengunduh file ke/dari server peretas |
| mkdir / rename | Membuat direktori atau mengubah nama file |
| ls / rm | Melihat isi direktori atau menghapus data |
| uninstall | Menghapus agen malware dari sistem untuk menghilangkan jejak |
Sophos mencatat bahwa backdoor ini berkomunikasi dengan server Command-and-Control (C2) di license[.]claude-pro[.]com melalui port TCP 443 atau UDP 8080 dengan enkripsi AES.
Kaitan dengan Grup Peretas PlugX
Para peneliti mencurigai adanya keterkaitan antara kampanye ini dengan operator di balik malware PlugX. Teknik penggunaan updater G Data untuk sideloading DLL adalah ciri khas yang sering terlihat pada aktivitas PlugX di masa lalu. Hal ini mengindikasikan bahwa kelompok peretas tersebut mungkin sedang bereksperimen dengan payload baru (Beagle) untuk menargetkan para pengembang dan profesional teknologi.
Saran Keamanan:
- Pastikan Anda hanya mengunduh aplikasi atau mengakses layanan AI melalui portal resmi (misalnya:
claude.aiuntuk Anthropic). - Abaikan atau sembunyikan hasil pencarian bersponsor di mesin pencari yang sering kali menjadi pintu masuk iklan phishing.
- Periksa folder Startup Anda; kehadiran file dengan nama
NOVupdateatauavk.dlldi lokasi yang tidak semestinya adalah indikasi kuat bahwa sistem telah terkompromi.
Sumber: Sophos / Malwarebytes