Con la popularidad de Claude en ascenso, era cuestión de tiempo para que empezáramos a ver estafas que buscan aprovecharse de la IA de Anthropic. La más reciente tiene que ver con una web que imita la oficial y que instala malware en tu ordenador con Windows. Investigadores de Sophos y Malwarebytes han documentado la campaña con detalle y advierten a los usuarios que no caigan en la trampa, o podrían abrirle la puerta a los hackers.
De acuerdo con BleepingComputer, existe una web que se presenta como si fuera la página oficial de Claude, con una paleta de colores y tipografía muy similares a las del original. Aunque a primera vista podría pasar como auténtica, la realidad es que se trata de una imitación bastante tosca en donde los enlaces no llevan a ningún lado, excepto uno. El único botón que funciona, y del que debemos cuidarnos, es el que ofrece descargar Claude-Pro Relay, un «servicio de alta velocidad para desarrolladores que usan Claude Code».
El archivo Claude-Pro-windows-x64.zip contiene un instalador que al ejecutarlo, el equipo queda infectado de inmediato. El proceso deposita tres archivos en la carpeta de inicio de Windows: NOVupdate.exe, NOVupdate.exe.dat y avk.dll.
El primero es un ejecutable firmado legítimamente, concretamente el actualizador de los antivirus G Data. Los atacantes aprovechan esa firma para cargar de forma encubierta la DLL maliciosa, una técnica para sustituir una biblioteca legítima por una versión manipulada. El resultado es que el sistema ejecuta código dañino bajo la apariencia de un proceso de confianza.
Una vez dentro, esa DLL descifra y ejecuta en memoria el contenido del tercer archivo, que contiene un inyector de código abierto llamado DonutLoader. Este a su vez despliega un backdoor bautizado como Beagle, que se comunica con el servidor del atacante.
Qué puede hacer el malware del archivo Claude Pro en tu Windows
Las capacidades Beagle son limitadas pero suficientes para causar daño real. Desde el servidor de control, los atacantes pueden ejecutar comandos arbitrarios, subir y descargar archivos, crear y renombrar directorios, listar el contenido del sistema de archivos y desinstalar el agente si lo consideran necesario. En términos prácticos, eso significa acceso remoto casi completo al equipo infectado.
Sophos descubrió muestras relacionadas con Beagle enviadas a VirusTotal entre febrero y abril de este año. Esas muestras llegaban a los sistemas por vías completamente diferentes, como binarios de Microsoft Defender troyanizados, archivos PDF señuelo o páginas que imitaban las actualizaciones de empresas como CrowdStrike.
En cuanto a quién está detrás, los investigadores apuntan a que podría tratarse de los responsables de PlugX, una conocida familia de malware. La cadena de infección comparte muchos elementos con campañas realizadas por ese grupo, aunque no hay evidencia suficiente para hacer una atribución definitiva.
Para protegerte, lo más importante es descargar Claude exclusivamente desde la web claude.ai. Cuando una aplicación o servicio se pone de moda, los hackers montan publicidad maliciosa en buscadores para que sus dominios aparezcan como resultados patrocinados. En este caso, si alguien busca «Claude» aparecerá esta web y podría sorprender a más de uno.
En estos casos conviene también ignorar o filtrar los resultados patrocinados en los buscadores cuando busques herramientas de este tipo. Si tienes dudas sobre si tu equipo está comprometido, revisa la carpeta de inicio de Windows y busca los archivos NOVupdate.exe, avk.dll y NOVupdate.exe.dat. En caso de que estén ahí, tu PC fue víctima de los hackers.
Seguir leyendo: Cuidado si usas Claude: hay una web falsa que instala un peligroso malware en tu ordenador