Hack Alerta

Site falso do Claude AI distribui malware Beagle para Windows

Por Redação Hack Alerta Publicado em 07/05/2026 08:06 Cyber ataques Tempo de leitura: 5 min

Campanha de phishing utiliza site falso do Claude AI para distribuir malware Beagle, um backdoor para Windows que visa credenciais de produtividade e ferramentas de desenvolvimento.

Descoberta e escopo da campanha

Uma nova campanha de phishing direcionada a usuários de inteligência artificial foi identificada por pesquisadores de segurança, utilizando um site falso que se passa pela plataforma Claude AI. O objetivo principal é distribuir um malware desconhecido anteriormente, denominado Beagle, que atua como um backdoor para sistemas Windows. A campanha explora a alta demanda e confiança que profissionais e empresas depositam em ferramentas de IA generativa para automatizar tarefas e acessar recursos computacionais.

O site malicioso oferece um download supostamente legítimo do "Claude-Pro Relay", um componente que não existe oficialmente. Ao executar o instalador, o usuário inadvertidamente instala o malware Beagle, que permanece oculto no sistema e estabelece comunicação com servidores de comando e controle (C2). A descoberta destaca a tendência de criminosos de se apropriarem de marcas populares de IA para mascarar atividades maliciosas.

Vetor de ataque e execução

O ataque inicia-se com a entrega de um link de phishing, frequentemente disseminado via e-mails direcionados ou anúncios em redes sociais. O usuário é induzido a baixar o arquivo executável, que se disfarça como uma atualização de software ou ferramenta de produtividade. Uma vez executado, o Beagle utiliza técnicas de ofuscação para evitar detecção por antivírus tradicionais. O malware se instala em diretórios do sistema e cria entradas no registro para persistência automática.

A execução do payload ocorre em segundo plano, sem notificação ao usuário. O Beagle é projetado para ser leve e discreto, minimizando o uso de CPU e memória para não levantar suspeitas. A comunicação com o C2 é criptografada e ocorre em horários aleatórios para evitar detecção baseada em tráfego de rede.

Capacidades do malware Beagle

O malware Beagle foi projetado para fornecer acesso remoto não autorizado ao sistema comprometido. Entre suas capacidades estão a captura de teclas digitadas (keylogging), a captura de tela periódica e a extração de arquivos sensíveis. Diferente de outros backdoors, o Beagle foca em roubar credenciais de aplicativos de produtividade e ferramentas de desenvolvimento, que são comuns em ambientes onde o Claude é utilizado.

Além disso, o malware possui funcionalidades para se comunicar com outros componentes da infraestrutura de ataque, permitindo a distribuição de payloads adicionais. Isso sugere que o Beagle pode ser parte de uma campanha maior, onde o acesso inicial é apenas o primeiro passo para comprometimento total da rede.

Evidências e limites da exploração

Os pesquisadores identificaram que o site falso utiliza certificados SSL válidos, o que aumenta a credibilidade da página para usuários comuns. O domínio foi registrado recentemente e utiliza serviços de hospedagem que dificultam a identificação imediata dos responsáveis. A análise forense dos arquivos extraídos revelou assinaturas digitais que não correspondem a nenhuma entidade oficial da Anthropic, fabricante do Claude.

Limites da exploração incluem a necessidade de interação do usuário para a execução inicial. O malware não se propaga automaticamente pela rede, dependendo de engenharia social para infectar novos sistemas. No entanto, uma vez instalado, ele pode ser usado para mover-se lateralmente dentro de uma organização se as credenciais roubadas forem privilegiadas.

Medidas de mitigação recomendadas

Para proteger suas organizações contra a campanha Beagle, as equipes de segurança devem implementar as seguintes medidas:

  • Verificação de Fontes: Educar os usuários para verificar sempre a URL oficial antes de baixar qualquer software relacionado a IA.
  • Monitoramento de Rede: Configurar regras de firewall para bloquear conexões para os domínios de C2 identificados.
  • Atualização de Antivírus: Garantir que as soluções de endpoint estejam atualizadas com as últimas definições de malware.
  • Revisão de Logs: Monitorar logs de execução de arquivos em diretórios suspeitos e tentativas de acesso não autorizado.

O que os CISOs devem fazer imediatamente

Os CISOs devem priorizar a verificação de ativos que possam ter sido expostos a essa campanha. Recomenda-se a varredura de todos os endpoints em busca de assinaturas do Beagle e a revisão de logs de autenticação para detectar acessos anômalos. Além disso, é crucial revisar as políticas de download de software e implementar soluções de controle de aplicativos para impedir a execução de binários não autorizados.

Perguntas frequentes

Como saber se meu sistema foi infectado? Verifique a presença de processos desconhecidos no gerenciador de tarefas e a existência de arquivos em diretórios temporários com nomes suspeitos.

O Beagle rouba dados financeiros? O foco principal é credenciais de aplicativos de produtividade, mas dados financeiros podem ser comprometidos se acessíveis via navegador.

É possível remover o malware? Sim, utilizando ferramentas de remoção especializadas e restaurando o sistema a partir de backups limpos.

Baseado em publicação original de BleepingComputer
Tags: #=malware #phishing #ia #windows #backdoor #seguranca #ataque #ciberseguranca #beagle
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar