
網絡安全供應商Sophos發布報告,揭發有網絡犯罪集團建立假冒Anthropic Claude AI的惡意網站,利用搜尋引擎廣告及SEO污染技術,誘導用戶下載偽造工具。該攻擊鏈採用DLL側載及開源記憶體載入器技術,藉此在受害者系統部署名為「Beagle」的新型後門程式,以規避傳統安全防禦並進行遙距控制。
即刻【按此】,用 App 睇更多產品開箱影片
Sophos揭發假冒Anthropic Claude AI惡意網站 散播新型後門程式Beagle
2026年7月2日 —— 全球領先的網絡安全解決方案供應商 Sophos 近日發布旗下 Sophos X-Ops 團隊的最新威脅研究報告。報告指出,有網絡犯罪集團正利用市場對熱門人工智能(AI)工具的高度關注,建立假冒 Anthropic Claude AI 助理的惡意網站,藉此散播從未被記錄的新型後門程式。該分階式網絡攻擊鏈(multi-stage attack chain)採用了 DLL 側載(DLL sideloading)及開源記憶體載入器(in-memory loader)技術。Sophos 經評估後確認該程式過往從未被記錄,並將其正式命名為「Beagle」。
調查顯示,涉事的虛假網站網址為 claude-pro[.]com,其網頁頁面與 Claude 官方網站極為相似,具備極高欺騙性。該網站提供一款名為「Claude-Pro Relay」的偽造產品,宣稱是協助 Claude-Code 開發者提升效能的工具。受害者一旦誤信並點擊下載連結,系統便會下載一個內含惡意 MSI 安裝程式(Claude.msi)的大型壓縮檔案。該程式會在沒有任何系統提示的情況下,將三個檔案直接投放至用戶系統的啟動資料夾(startup folder)內。
如何辨識假冒Claude Pro網站的惡意手法
根據 Sophos X-Ops 團隊的深入研究,是次假冒 Claude 網站的活動在技術層面上雖然相對簡單,但卻內建了功能完整且隱蔽性極高的攻擊鏈,其重點發現包括:
DLL 側載技術隱藏感染行為: 駭客透過安全且可信的可執行檔案來側載惡意 DLL。安裝程式會在受害者系統中投放經合法簽署的 G DATA 防毒程式組件(NOVupdate.exe),並同時搭配惡意檔案
avk.dll及加密資料檔案。這種手法能有效規避傳統安全防禦,在過往常見於 PlugX 及 ShadowPad 相關的網絡攻擊活動。利用開源 DonutLoader 作為第一階段攻擊載具: 被側載的惡意 DLL 會透過開源記憶體載入器 Donut(DonutLoader)解密並執行 shellcode。資料顯示,Donut 過去曾被網絡犯罪份子用於針對東南亞政府機構的網絡攻擊之中。
部署全新「Beagle」後門程式: Donut 最終會承載並釋放最終載荷(payload)——即新型後門程式 Beagle。此後門程式支援遙距執行指令、檔案上載及下載、目錄管理以及刪除檔案等功能。在通訊機制方面,Beagle 會透過 TCP(443 埠)及/或 UDP(8080 埠)連接 C2 伺服器,並使用 AES 加密演算法進行高度隱蔽的雙向通訊。
點擊搜尋引擎AI工具贊助連結容易誤中陷阱
根據資安專家的評估分析,此波網絡攻擊的主要散播途徑,疑似是利用惡意廣告(malvertising)或搜尋引擎最佳化污染(SEO Poisoning)技術。網絡犯罪集團透過在搜尋引擎投放廣告,令用戶在搜尋與 Claude 相關的工具時,錯誤點擊出現在搜尋結果頂部的「贊助商連結」,因而被引導至上述的虛假網站。
假冒Claude網站攻擊並非單一事件
Sophos 研究人員在網絡威脅情報平台 VirusTotal 上有了進一步發現。追蹤紀錄顯示,早在 2026 年 2 月就已經存在其他相關的惡意樣本,且程式碼中均包含與本次攻擊完全相同的 XOR 金鑰。這項關鍵證據反映出該網絡攻擊行為一直在持續演化,具有長期的組織性與計劃性,絕非偶然發生的單一事件。
Sophos X-Ops 團隊強調,市場對熱門 AI 工具的高度關注,往往令黑客有機可乘。是次威脅突顯了從未經核實來源下載軟件所帶來的潛在資安風險。
Sophos 官方防護措施建議
為確保個人與企業機構的網絡安全,防範潛在的數據外洩與遠端控制風險,資安專家給出以下防禦及應對建議:
核實官方下載渠道: 用戶及機構成員應養成良好習慣,只從官方網站下載 Claude 相關工具,並避免點擊搜尋引擎內任何 AI 工具的贊助或廣告搜尋結果。
主動檢查系統啟動項目: 定期檢查系統內的啟動資料夾(startup folder),留意是否出現
NOVupdate.exe、avk.dll以及NOVupdate.exe.dat等異常檔案。封鎖惡意網絡連線: 企業網管及資安團隊應立即將相關惡意域名與 IP 納入監控與規限清單,全面監察內部系統是否有連線至
claude-pro[.]com、license[.]claude-pro[.]com以及惡意 IP 地址8[.]217[.]190[.]58的網絡活動。
Source: ezone.hk
【相關報道】
【相關話題】熱門擋廣告插件 Adblock for Youtube爆嚴重網絡安全漏洞 逾千萬個資隨時被人「睇光光」
網絡安全公司Island報告指出,熱門瀏覽器插件「Adblock for Youtube™」存在嚴重遠端操控漏洞。遠端伺服器可在用戶不知情下每24小時更新並注入代碼,繞過檢查機制讀取敏感賬戶資料。開發商已承諾提交更新版本修正,專家則建議香港用戶及企業核對識別碼、更新至最新版本或徹底移除。
Source: ezone.hk
