فخ «كلود» المزيف: برمجية «بيغل» تخترق ويندوز عبر توقيعات أمنية مسروقة

كشف باحثون في شركتي «Sophos» و«Malwarebytes» عن حملة احتيال تقني تستهدف مستخدمي أنظمة ويندوز عبر موقع ويب زائف يحاكي منصة الذكاء الاصطناعي «Claude». الموقع ينتحل هوية شركة «Anthropic» ويحرض الزوار على تحميل حزمة برمجية ملغومة تسمى «Claude-Pro Relay» بدعوى أنها خدمة عالية السرعة للمطورين.

الهجوم يعتمد تقنية تضليل متطورة تستغل ملف تحديث شرعي لبرنامج مكافحة الفيروسات «G Data» لتمرير ملفات خبيثة. المهاجمون استخدموا الملف «NOVupdate.exe» الموقع رسمياً لتحميل مكتبة برمجية متلاعبة تحمل اسم «avk.dll» ما يسمح للنظام بتنفيذ أكواد ضارة تحت غطاء عملية موثوقة تهرب من رادار الدفاعات التقليدية.

العملية تزرع باباً خلفياً يسمى «Beagle» في ذاكرة الجهاز المصاب. أوضح التقرير الفني أن هذه البرمجية تمنح المخترقين سيطرة كاملة تشمل تنفيذ أوامر برمجية ورفع وتحميل الملفات وتعديل الأدلة الحيوية في نظام التشغيل.

عينات برمجية «Beagle» المرصودة أرسلت إلى منصة «VirusTotal» في الفترة ما بين فبراير وأبريل من العام الجاري. تشير التحقيقات إلى ترجيحات قوية بوقوف مجموعة «PlugX» خلف الهجوم نتيجة تشابه أسلوب العدوى مع حملات سابقة استخدمت تحديثات وهمية لشركات أمنية كبرى.

مجلد بدء التشغيل في ويندوز يظل الدليل الأساسي على الإصابة في حال وجود ملفات «NOVupdate.exe» و«avk.dll». الموقع الرسمي الوحيد للخدمة هو «claude.ai» وحذر الباحثون من الوثوق بالروابط التي تظهر كإعلانات ممولة في محركات البحث كونها القناة الرئيسية لتوزيع هذا النوع من البرمجيات الخبيثة حالياً.