攻擊者仿冒 Claude 下載網站散佈遠端存取木馬 PlugX

攻擊手法與目標

人氣愈來愈高的 Anthropic Claude 也成為攻擊者利用的目標。研究人員發現，攻擊者結合釣魚與進階 DLL 側載手法，架設冒充 Claude 官網的惡意網站，藉此散佈遠端存取木馬程式 PlugX。

攻擊細節

資安廠商 Malwarebytes 研究人員揭露，攻擊者透過釣魚郵件誘使用戶點擊連結，前往一個精心設計的假網站。該網站提供名為 Claude-Pro-windows-x64.zip 的壓縮檔，看似為正版應用程式。

當用戶下載並執行該壓縮檔時，系統會安裝一個被篡改的 Claude 客戶端。此客戶端利用 DLL 側載技術，在用戶不知情的情況下，靜默安裝遠端存取木馬 PlugX。這種手法讓攻擊者能夠獲得受害者的遠端控制權，且由於木馬被偽裝在合法應用程式內，極難被防毒軟體偵測。

相關調查與發現

除了 Malwarebytes 的調查外，資安公司 Sophos 也針對此類攻擊進行深入分析。Sophos 指出，雖然初期認為是 PlugX 攻擊，但進一步調查後發現攻擊者可能利用其他漏洞或手法進行掩護，顯示此類仿冒 AI 下載網站的攻擊行動日益猖獗。

此外，駭客也迅速利用軟體供應鏈事件（如 Claude Code 封裝錯誤）來吸引大眾注意，進而散播專門竊取登入憑證的惡意程式，證明瞭駭客能夠多麼迅速利用軟體供應鏈事件來吸引大眾。