Claude AI: un installer falso nasconde un malware molto pericoloso
Un fake installer di Claude AI sta circolando online come bait per diffondere PlugX, uno dei trojan ad accesso remoto più dangerous e duraturi del panorama delle minacce informatiche globali. Nonostante la technical non sia particolarmente complessa, l’attacco funziona: sfrutta l’growing popularity dei brand legati all’artificial intelligence per indurre gli utenti a scaricare un file apparentemente legitimate .
Il file si presenta con nome, icona e comportamento iniziale che imitano perfettamente un vero programma di installazione di Claude AI, l’assistant sviluppato da Anthropic. Tutto sembra normale, ma una volta eseguito, inizia una serie di operazioni nascoste: il payload di PlugX viene installed nel sistema, stabilendo persistence attraverso modifiche al registro di Windows e tecniche di offuscamento pensate per sopravvivere ai reboots ed bypass i controlli degli antivirus.
PlugX è un RAT attivo da oltre dieci anni, storicamente associato a gruppi di spionaggio cinesi ma ormai diffuso anche tra altri attori con motivations diverse. Una volta installato, consente agli aggressori di eseguire comandi a distanza, steal files , registrare la digitazione e mantenere un accesso undetected . La versione veicolata con l’installer di Claude AI utilizza componenti di sistema legittimi per nascondere le proprie azioni, una strategia nota come living off the land.
Questa tecnica rende molto difficile distinguere tra attività normali e comportamenti malicious . Il computer sembra funzionare correttamente, ma in background i dati vengono collected e inviati ai criminali. Il vettore principale dell’attacco è il social engineering: le vittime vengono convinte a eseguire un file che sembra affidabile. La difesa più efficace? Scaricare software solo dai official channels .
Nel caso di Claude AI, l’unica fonte trusted è il sito di Anthropic o gli store ufficiali. Inoltre, è essenziale tenere aggiornati antivirus ed EDR (Endpoint Detection and Response), che ora includono rilevamento behavioral per identificare attività sospette anche senza firme note. Per le aziende, la regular training dei dipendenti resta uno dei modi più efficaci per prevenire attacchi di questo tipo.
L’episodio non è isolato: con la crescita esponenziale dell’interesse per l’IA, i nomi più noti del settore diventano recurring bait per campagne di malware. Monitorare queste minacce e restare updated sulle nuove tecniche è oggi una componente fondamentale di ogni strategia di sicurezza serious .
La cosa più assurda è che la gente scarica installer da fonti sconosciute solo perché cercano una versione 'gratuita' di un tool di IA. Il cost costo della pigrizia è alto.
PlugX è vecchio ma ancora effective efficace. Il fatto che usino nomi come Claude AI mostra quanto siano bravi a sfruttare la hype frequenza mediatica.
Living off the land è la vera minaccia: se il malware usa strumenti di sistema, il rilevamento becomes diventa un incubo. Gli EDR devono lavorare di più.
Eppure le aziende continuano a underestimate sottovalutare la formazione. Un solo clic può compromettere un'intera rete. Il risk rischio è concreto.
Ma perché non fanno un controllo più strict rigoroso sugli store? Queste app false dovrebbero essere rimosse in automatico.
La vera domanda è: quanti falsi installer girano là fuori con nomi come ChatGPT, Gemini o Copilot? Il fenomeno è solo all'inizio.