La última amenaza en materia de ciberseguridad ha encendido todas las alarmas: una versión falsa de la web de Claude AI está distribuyendo un malware bautizado como Beagle, creado precisamente para hacerse con el control de sistemas Windows sin que el usuario se de cuenta.
Lo que lo hace especialmente peligroso es su capacidad para camuflarse entre herramientas totalmente legítimas. Según informes recientes de Sophos y Malwarebytes, la campaña utiliza un sitio web que imita a la perfección la estética de Anthropic (la empresa matriz de Claude) para engañar a todo tipo de usuario, incluso a los más experimentados.
Web falsa
El engaño comienza en la web o dominio claude-pro[.]com. En este sitio, los atacantes ofrecen un supuesto servicio llamado Claude-Pro Relay, diseñado teóricamente para ayudar a los desarrolladores a integrar el código de la IA de forma más eficiente. El usuario, dado que el entorno parece legítimo, descarga un archivo comprimido de unos 500 MB. Al ser un instalador pesado y que, de hecho, instala una versión funcional de Claude, el usuario no sospecha nada. De hecho, la herramienta funciona para que mientras tanto el virus acceda a tu ordenador.
Una vez que se ejecuta el instalador, el malware Beagle comienza su despliegue. Según la investigación de Sophos, el ataque utiliza un ejecutable legítimo y firmado para cargar archivos maliciosos (avk.dll) . Al usar un archivo que tiene una firma digital válida, muchos antivirus no lo detectan como sospechoso, por lo que logra atacar al sistema.
Claude.ai es el único dominio real y oficial
Beagle, por tanto, es una herramienta para espiar y controlar remotamente tu equipo. Utiliza un inyector de memoria llamado DonutLoader, por lo que el código dañino nunca llega a escribirse como un archivo ejecutable normal en el disco duro, sino que se queda directamente en la memoria RAM. Esto lo hace extremadamente difícil de detectar.
Una vez que Beagle establece comunicación con su servidor de control, los atacantes pueden ejecutar una serie de comandos:
- upload/download: Subir o bajar cualquier tipo de archivo desde y hacia tu PC.
- cmd: Ejecutar comandos de consola con privilegios de sistema.
- ls/mkdir/rm: Navegar por tus carpetas, crear directorios o eliminar rastro de su actividad.
- uninstall: Capacidad de autoeliminarse si detectan que están siendo investigados.
Cómo identificar el virus
El indicio más claro de que tu PC ha sido infectado con Beagle es la presencia de archivos con el nombre «NOVupdate» en tu carpeta de Inicio (Startup) de Windows. Si ves archivos como NOVupdate.exe o avk.dll configurados para ejecutarse al encender el equipo, es muy probable que hayas sido atacado.
Para evitarlo en un futuro, es fundamental seguir unas pautas que van más allá del simple sentido común:
- Verifica siempre la fuente oficial: Anthropic solo distribuye sus herramientas a través de claude.ai o dominios oficiales verificados. Desconfía de cualquier web que añada palabras como «-pro», «-relay» o «-code» en el dominio principal.
- Ignora los resultados patrocinados: Los atacantes a menudo pagan publicidad en buscadores para que sus sitios falsos aparezcan en la parte superior. Salta siempre los anuncios y busca el resultado orgánico oficial y original.
- Monitorea los procesos de red: Beagle se comunica a través del puerto 443 (TCP) y 8080 (UDP). Un tráfico inusual hacia IPs desconocidas (especialmente asociadas a servicios de nube como Alibaba-Cloud, como han detectado Malwarebytes y Sophos) es una señal de alerta roja.
Fuente: Bleeping Computer | adslzone
