Falso sito Claude AI e la backdoor Beagle
TL;DR: Ricercatori di Sophos X-Ops hanno scoperto claude-pro.com, un sito clone di Claude AI che distribuisce "Beagle", una backdoor Windows inedita. Il sito raggiunge le vittime tramite annunci Google sponsorizzati posizionati sopra i risultati organici del vero Claude. Una volta installata, Beagle permette controllo remoto completo della macchina.
I servizi AI più usati al mondo sono diventati l'esca perfetta per i cybercriminali. Il nome "Claude" garantisce credibilità. Gli annunci sponsorizzati garantiscono visibilità. Il risultato è una backdoor installata da utenti convinti di scaricare uno strumento legittimo.
Il sito clone: claude-pro.com
Il sito malevolo è claude-pro.com — non va confuso con il vero Claude AI di Anthropic, raggiungibile su claude.ai.
Il clone replica l'interfaccia di Claude con precisione: layout simile, palette colori identica, font analoghi. Un utente che arriva sul sito senza controllare il dominio nella barra degli indirizzi difficilmente nota la differenza.
Il sito promuove un fantomatico strumento chiamato "Claude-Pro Relay", presentato come una versione potenziata del chatbot. Per usarlo, l'utente deve scaricare un archivio ZIP da circa 505 MB.
L'infrastruttura di hosting, tracciata da Sophos X-Ops, è stata configurata a marzo 2026.
Come arriva il sito alle vittime: malvertising
Il canale di distribuzione è il malvertising — pubblicità malevola inserita nei risultati di ricerca Google come annuncio sponsorizzato.
Quando un utente cercava "Claude AI" o termini correlati, il sito falso appariva in cima ai risultati, prima del vero Claude di Anthropic. Chi cliccava sull'annuncio senza verificare il dominio atterrava direttamente sul clone.
È una tecnica consolidata, ma l'abbinamento con un servizio AI di alto profilo come Claude — che ha milioni di utenti attivi — amplifica enormemente la portata potenziale dell'attacco.
Come funziona l'infezione
Il file ZIP scaricato contiene un installer MSI. Una volta eseguito, deposita tre file nella cartella di avvio di Windows:
| File | Ruolo |
|---|---|
NOVupdate.exe | Updater antivirus G DATA legittimo, rinominato |
| File dati cifrato | Payload malevolo cifrato |
avk.dll | DLL malevola |
Quando Windows si avvia, esegue automaticamente NOVupdate.exe. L'updater legittimo, cercando la propria libreria, carica invece avk.dll — tecnica nota come DLL sideloading.
La DLL decifra il file dati usando una chiave XOR invertita e inietta il codice risultante in memoria tramite DonutLoader, un loader open-source in-memory. A questo punto Beagle è attiva — senza che nessun file malevolo esplicito sia visibile sul disco.
La backdoor Beagle: capacità e comunicazioni
Beagle è una backdoor Windows non documentata prima di questa scoperta. Supporta 8 comandi:
- Esecuzione di comandi shell via CMD e PowerShell
- Upload e download di file arbitrari
- Navigazione del filesystem (directory listing)
- Creazione di cartelle
- Rinomina di file
- Cancellazione di directory
- Auto-rimozione dal sistema
Comunica con il server di command-and-control all'indirizzo license.claude-pro.com su:
- TCP porta 443 (HTTPS standard — difficile da bloccare con firewall)
- UDP porta 8080 (canale alternativo)
Tutto il traffico è cifrato con una chiave AES hardcoded. Chi controlla il server C2 ha accesso completo alla macchina infetta.
Perché l'AI è diventata il vettore ideale
Il successo di questo tipo di attacchi si spiega con tre fattori convergenti:
1. Fiducia nel brand: ChatGPT, Claude, Gemini sono nomi che gli utenti associano a tecnologia avanzata e affidabile. L'imitazione di questi brand abbassa le difese.
2. Aspettativa di download: gli utenti sono abituati a scaricare software. Un "client desktop" di un servizio AI sembra plausibile — in realtà nessun servizio AI legittimo richiede l'installazione di un file ZIP da 500 MB.
3. Malvertising difficile da filtrare: gli annunci Google sponsorizzati hanno una storia di abusi per distribuzione di malware. Google rimuove i siti segnalati, ma i criminali ne registrano di nuovi rapidamente.
Come proteggersi
- Non cliccare su annunci sponsorizzati per servizi AI: digita sempre l'URL direttamente nella barra indirizzi
- Verifica il dominio prima di qualsiasi azione: claude.ai, non claude-pro.com o varianti
- Non scaricare eseguibili da siti AI: ChatGPT, Claude, Gemini sono servizi web — non richiedono installazioni
- Usa un ad blocker: blocca gli annunci sponsorizzati nei risultati di ricerca, eliminando il vettore principale del malvertising
Conclusione
La backdoor Beagle non è sofisticata nella sua logica — è sofisticata nella sua distribuzione. Sfrutta la fiducia degli utenti verso i brand AI, il meccanismo degli annunci sponsorizzati e tecniche di evasione collaudate come il DLL sideloading. Il messaggio per chi usa servizi AI è semplice: l'URL nella barra degli indirizzi è la prima linea di difesa.
Fonti: Sophos X-Ops · BleepingComputer · Infosecurity Magazine · TechRadar