假冒克劳德人工智能网站通过谷歌搜索结果推送 Windows 后门

一个伪造的克劳德人工智能网站正在通过谷歌赞助商搜索结果推送一个新的 Windows 后门。恶意域名 claude-pro[.]com 将自己装扮成真正的 Claude 界面，并提供名为 Claude-Pro Relay 的虚假工具。Sophos X-Ops 今天发布了对该活动的全面分析。Malwarebytes 最先发现了它。

该网站主要针对开发人员。该网站将 Claude-Pro Relay 称作 "专为 Claude 代码开发人员设计的高性能中继服务"。你在页面上唯一能做的事情就是点击一个下载按钮。该按钮会拉出一个 505MB 的 ZIP 文件，名为 Claude-Pro-windows-x64.zip，其中包含一个 MSI 安装程序。安装程序会将三个文件放入 Windows 启动文件夹：一个合法的、已签名的 G Data 杀毒软件更新程序（更名为 NOVupdate.exe）、一个加密数据文件和一个名为 avk.dll 的恶意 DLL。它安装到 C:Program Files (x86)AnthropicClaudeCluade - 注意拼写错误 - 但没有人检查安装路径。

感染链如何运作

签名的 G Data 二进制文件用于侧载 avk.dll。这就是该技术的核心--借用合法安全工具的信任来逃避防御。DLL 使用反向 XOR 密钥解密加密有效载荷，交给 DonutLoader，然后 DonutLoader 将Beagle 后门投放到系统中。到系统上。

Beagle 通过 TCP 443 端口或 UDP 8080 端口向 licence[..]claude-pro[..]com 打电话。流量是用硬编码的 AES 密钥加密的，因此对于监视线路的人来说，看起来就像正常的 HTTPS。后门运行八项命令：执行 shell、文件传输、目录列表和自我删除。这足以实现完全远程访问。它与 2004 年基于Delphi 的 Beagle 蠕虫毫无关系。完全不同。

Sophos 以为是 PlugX。侧载设置--G Data 二进制文件、avk.dll、XOR 加密有效载荷--与 Lab52 在 2026 年 2 月记录的 PlugX 活动中使用虚假会议邀请的链条相同。但有效载荷却不同。Sophos 现在认为，攻击者要么对已知的链进行了改装，要么完全从另一个组织中获取了这一技术。

操作者并没有坐以待毙。Malwarebytes 追踪到他们在 2026 年 4 月将群发邮件提供商从 Kingmailer 换成了 CampaignLark，同时轮换基础设施以避开封杀名单。托管服务器本身是在 2026 年 3 月建立的，因此活动开始时间比今天的公开披露早了约六周。

人工智能品牌攻击模式

这是大约一年内攻击者第三次使用人工智能工具品牌来运行DLL 侧载活动。.Bitdefender 在 2026 年 3 月捕捉到通过谷歌广告运行的虚假克劳德代码页面，利用 ClickFix 诱骗开发人员粘贴恶意终端命令。在此之前，伪造的 DeepSeek 安装程序网站也在 2025 年初运行了相同的侧载链。人工智能品牌会随着搜索趋势的变化而变化。感染方式却不会。

该活动通过赞助商搜索结果进行，这意味着假冒网站会出现在真正的克劳德列表之上，任何人在搜索和点击时都不会检查域名。克劳德只能在 claude.com 上找到。Anthropic 没有发布任何名为 Claude-Pro Relay 的产品。Sophos 称，在 Windows 启动文件夹中发现 NOVupdate.exe 或 avk.dll 是机器被入侵的可靠迹象。

Notebookcheck 此前曾报道过一起独立事件，其中有一个 人工智能编码代理运行在 Cursor 中的人工智能编码代理在未经用户确认的情况下自主删除了一家启动企业的整个生产数据库和所有备份，这凸显了在没有适当防护措施的情况下部署人工智能工具所带来的日益增长的风险。