Claudel’intelligence artificielle de Anthropiquedevient de plus en plus populaire. Selon certaines estimations, il aurait atteint 290 millions de visites mensuelles. Cela a fait du modèle une cible très attractive pour les cybercriminels. Des chercheurs en sécurité de Malwarebytes ont identifié un site Internet contrefait qui imite fidèlement le portail officiel Claude et qui promet d’installer un version apparemment légitime de l’applicationdans le but de distribuer un package d’installation infecté par un logiciel malveillant. Celui qui télécharge le fichier reçoit en fait une copie de travail de l’application, mais une est installée en parallèle chaîne de composants malveillants qui permet aux pirates d’accéder à distance à l’appareil. Dans les prochains paragraphes nous verrons donc comment fonctionne l’attaque et comment l’éviter.
Comment fonctionne l’attaque de Claude Pro
Le site frauduleux ressemble à un Page Web appartenant apparemment à Anthropicla société qui développe Claude, et qui promet de télécharger un Version « Pro » de Claudejoint au dossier Claude-Pro-windows-x64.zip. Les enregistrements DNS – le système qui associe les noms de domaine aux adresses IP – montrent que le domaine dispose d’une infrastructure active pourenvoyer des emails en massece qui suggère que l’attaque se propage également via des messages de phishing. Une fois extraite, l’archive contient un installeur que vous placez dans le chemin C:Program Files (x86)AnthropicClaudeCluade. Avez-vous remarqué quelque chose d’étrange ? Il y a une faute de frappe dans le chemin (« ClOuahde » au lieu de « Claude »), ce qui constitue un premier signe d’alerte.
L’installation crée un raccourci sur le bureau qui, au premier clic, en lance un script automatique. Ce script exécute l’application Claude légitime et fonctionnelle au premier plan, afin de ne pas éveiller les soupçons, et copie simultanément trois fichiers dans un dossier de démarrage du système en arrière-plan : NOVUpdate.exe, avk.dll Et NOVUpdate.exe.dat.
Le mécanisme à l’origine de l’attaque est volontairement difficile à démasquer : le malware s’appuie sur des composants logiciels tout à fait légitimes – dans ce cas précis, des éléments imputables à un programme antivirus – pour se camoufler dans le système et échapper aux contrôles automatiques de Windows. Ni l’utilisateur ni les outils de sécurité du PC n’ont donc de raisons immédiates de se méfier.
À la lumière de ces considérations, il semble clair quel est l’objectif des cybercriminels derrière l’attaque : ouvrir une porte d’accès permanente à l’appareil de la victime sans qu’elle s’en rende compte. De cette manière, celui qui gère l’attaque peut émettre des commandes à distance, voler des informations sensibles ou demander au système de télécharger des composants malveillants supplémentaires sans que rien ne soit visible à l’écran.
Comment savoir si votre PC est infecté
Pour vérifier si votre ordinateur a été impliqué dans l’attaque, en plus d’y réfléchir et d’essayer de vous rappeler si vous avez téléchargé des versions « étranges » de Claude sur votre PC, vous pouvez vérifier la présence des fichiers NOVUpdate.exe, avk.dll ou NOVUpdate.exe.dat dans le dossier de démarrage automatique Startupsrecherchez le dossier mal nommé « Cluade » en chemin C:Program Files (x86)AnthropicClaude et effectuez-en un analyse complète avec anti-malware mis à jour. En cas de succès, les chercheurs de Malwarebytes suggérons de vous déconnecter immédiatement d’Internet et de modifier les mots de passe de tous les comptes utilisés sur cet appareil.
Prévenir l’infection est bien plus simple que l’éradiquer : il suffit de se limiter à téléchargez Claude exclusivement depuis le site officiel de la plateformeen évitant les liens provenant d’e-mails, de publicités ou de résultats de moteurs de recherche sponsorisés. Et cette stratégie de défense s’applique évidemment à tout autre logiciel.