✏️ 原創內容| TechRitual 編輯部
Sophos 團隊於 2026 年 7 月 2 日發布最新研究,揭露一個冒充 Anthropic Claude AI 助理的虛假網站(claude-pro[.]com)正散播一種名為「Beagle」的新型後門程式。該網站的設計與 Claude 官方網站極為相似,並提供一款名為「Claude-Pro Relay」的偽造產品,聲稱能協助開發者提升效能。
惡意網站及攻擊手法
該詐騙網站的受害者一旦點擊下載連結,便會獲得一個包含惡意 MSI 安裝程式(Claude.msi)的大型壓縮檔。該程式能在未提示的情況下,將三個檔案放置於系統的啟動資料夾內,從而實施攻擊。
Sophos X-Ops 團隊的研究重點發現包括:
- DLL 側載隱藏感染行為:駭客透過安全可信的可執行檔以側載惡意 DLL,安裝程式會投放合法簽署的 G DATA 防毒程式(NOVupdate.exe),同時搭配惡意檔案 avk.dll 及加密資料檔案。
- 以 DonutLoader 作為第一階段攻擊:被側載的 DLL 透過 Donut 解密並執行 shellcode,該記憶體載入器曾用於針對東南亞政府機構的攻擊。
- 新型後門程式「Beagle」:該後門程式支援遙距指令執行、檔案上載及下載等功能,並使用 TCP(443 埠)及 UDP(8080 埠)進行通訊。
- 惡意廣告及 SEO 污染:此次攻擊疑似利用惡意廣告或搜尋引擎最佳化進行,受害者可能在搜尋 Claude 相關工具時誤點贊助連結。
- 持續的攻擊活動:Sophos 在 VirusTotal 上發現早於 2026 年 2 月的其他樣本,顯示攻擊行為正在持續演化。
防護建議
Sophos 建議用戶及機構應僅從官方網站下載 Claude,避免點擊 AI 工具的贊助/廣告搜尋結果,並檢查系統啟動資料夾內是否出現 NOVupdate.exe、avk.dll 及 NOVupdate.exe.dat 等檔案。此外,機構應監察是否有連線至 claude-pro[.]com 及 license[.]claude-pro[.]com 的網絡活動。入侵指標(IOC)已上載至 Sophos 的 GitHub 儲存庫。
了解更多詳情,請參閱完整研究報告。

