Sophos 揭露虛假 Claude AI 網站散播新型後門程式「Beagle」

✏️ 原創內容| TechRitual 編輯部

Sophos 團隊於 2026 年 7 月 2 日發布最新研究,揭露一個冒充 Anthropic Claude AI 助理的虛假網站(claude-pro[.]com)正散播一種名為「Beagle」的新型後門程式。該網站的設計與 Claude 官方網站極為相似,並提供一款名為「Claude-Pro Relay」的偽造產品,聲稱能協助開發者提升效能。

惡意網站及攻擊手法

該詐騙網站的受害者一旦點擊下載連結,便會獲得一個包含惡意 MSI 安裝程式(Claude.msi)的大型壓縮檔。該程式能在未提示的情況下,將三個檔案放置於系統的啟動資料夾內,從而實施攻擊。

Sophos X-Ops 團隊的研究重點發現包括:

  • DLL 側載隱藏感染行為:駭客透過安全可信的可執行檔以側載惡意 DLL,安裝程式會投放合法簽署的 G DATA 防毒程式(NOVupdate.exe),同時搭配惡意檔案 avk.dll 及加密資料檔案。
  • 以 DonutLoader 作為第一階段攻擊:被側載的 DLL 透過 Donut 解密並執行 shellcode,該記憶體載入器曾用於針對東南亞政府機構的攻擊。
  • 新型後門程式「Beagle」:該後門程式支援遙距指令執行、檔案上載及下載等功能,並使用 TCP(443 埠)及 UDP(8080 埠)進行通訊。
  • 惡意廣告及 SEO 污染:此次攻擊疑似利用惡意廣告或搜尋引擎最佳化進行,受害者可能在搜尋 Claude 相關工具時誤點贊助連結。
  • 持續的攻擊活動:Sophos 在 VirusTotal 上發現早於 2026 年 2 月的其他樣本,顯示攻擊行為正在持續演化。

防護建議

Sophos 建議用戶及機構應僅從官方網站下載 Claude,避免點擊 AI 工具的贊助/廣告搜尋結果,並檢查系統啟動資料夾內是否出現 NOVupdate.exe、avk.dll 及 NOVupdate.exe.dat 等檔案。此外,機構應監察是否有連線至 claude-pro[.]com 及 license[.]claude-pro[.]com 的網絡活動。入侵指標(IOC)已上載至 Sophos 的 GitHub 儲存庫。

了解更多詳情,請參閱完整研究報告。

Henderson
Henderson

Henderson 是 TechRitual Hong Kong 科技編輯,專注報導智能手機、消費電子產品、SIM 卡及流動通訊市場。自加入 TechRitual 以來,累計撰寫數千篇科技報導及產品評測,內容同步發佈至 SINA 及 Yahoo Tech 等主要平台。

友情網站:日本語版 / TechNipponThe Base Principle(AI・工程)