Não Caia Nessa Armadilha: Site Falso do Claude Entrega Backdoor de Windows Via Buscas no Google

Não caia nessa armadilha: a segurança do seu computador pode estar em risco. Um site falso, disfarçado de portal oficial para a inteligência artificial Claude, da Anthropic, está sendo utilizado para disseminar um backdoor malicioso para sistemas Windows. A descoberta, inicialmente apontada pela Malwarebytes e detalhada pela Sophos X-Ops, revela uma campanha de phishing sofisticada que explora a curiosidade e a necessidade de desenvolvedores e usuários em busca de ferramentas de IA.

Essa nova modalidade de ataque demonstra a audácia dos cibercriminosos, que não hesitam em se aproveitar da popularidade de tecnologias emergentes como o Claude. A estratégia é clara: criar uma fachada convincente para enganar os incautos e instalar softwares perigosos em seus dispositivos. O cerne dessa operação reside em um domínio específico, claude-pro.com, que se apresenta com uma interface visualmente idêntica à da IA legítima.

O objetivo principal deste portal fraudulento é oferecer uma suposta ferramenta chamada Claude-Pro Relay. Segundo a narrativa criada pelos golpistas, este serviço seria essencial para desenvolvedores que utilizam o Claude Code, funcionando como uma espécie de retransmissão. Na prática, a única opção disponível na página é o download de um arquivo que, ao ser executado, inicia um processo de infecção.

A exploração das buscas no Google é um componente chave dessa operação. Ao aparecer em resultados patrocinados ou em posições de destaque, o site falso atrai usuários que podem não verificar cuidadosamente a URL. Essa tática de engenharia social é eficaz porque muitos usuários confiam nos primeiros resultados apresentados, especialmente quando buscam por ferramentas que estão em alta.

O Perigo Oculto no Download do Claude Falso

O arquivo disponibilizado para download é um pacote considerável: um ZIP de 505MB rotulado como “Claude-Pro-windows-64.zip”. Dentro dele, encontra-se um instalador no formato MSI. O que parece ser um software legítimo esconde uma série de componentes maliciosos cuidadosamente orquestrados para evadir detecções e estabelecer uma presença persistente no sistema.

Após a instalação, três arquivos principais são depositados na pasta “C:Program Files (x86)AnthropicClaudeCluade” – notavelmente, com um erro de digitação proposital no nome da subpasta (“Cluade” em vez de “Claude”). Essa distração sutil pode passar despercebida por usuários menos atentos.

Os arquivos incluem:

• Um atualizador de antivírus legítimo, assinado digitalmente pela G Data, mas renomeado para NOVupdate.exe. O uso de um nome de software de segurança conhecido visa criar uma falsa sensação de legitimidade e segurança.
• Um arquivo encriptado, cujo conteúdo é desconhecido até ser descriptografado.
• Um arquivo DLL (Dynamic Link Library) malicioso, nomeado avk.dll.

A técnica empregada é particularmente astuta. O binário “NOVupdate.exe”, que se disfarça de ferramenta de atualização de antivírus, é explorado para realizar o carregamento lateral (side-loading) do arquivo DLL malicioso, avk.dll. Este DLL, por sua vez, é responsável por descriptografar o payload oculto.

Uma vez descriptografado, o payload é entregue a um componente chamado DonutLoader. Este loader é conhecido por sua capacidade de injetar código em processos legítimos, dificultando a detecção por softwares de segurança. O DonutLoader, então, finaliza a instalação da backdoor Beagle.

A Ameaça Beagle: Persistência e Roubo de Dados

É crucial notar que a backdoor Beagle em questão não é o worm homônimo de 2004, mas sim uma variante moderna e mais perigosa. Essa nova versão é projetada para:

• Estabelecer persistência no sistema, garantindo que ela permaneça ativa mesmo após reinicializações.
• Executar comandos arbitrários no shell do sistema operacional, permitindo controle remoto.
• Transferir arquivos de e para o sistema infectado, possibilitando o roubo de informações sensíveis.
• Capacidade de auto-exclusão, uma tática para dificultar a análise forense e a remoção.

A campanha maliciosa parece estar ativa desde pelo menos abril de 2026. A eficácia em atingir usuários reside na forma como ela se integra aos resultados de busca. Ao aparecer em anúncios patrocinados no Google Ads, usuários que não prestam atenção à URL e clicam nos primeiros links são os alvos mais fáceis. Essa exploração de vulnerabilidades humanas, combinada com a sofisticação técnica, torna a ameaça particularmente insidiosa.

Este é o terceiro incidente conhecido no ano em que ferramentas de IA são instrumentalizadas para campanhas de malware. Anteriormente, o próprio Claude Code já havia sido alvo em março, e outras plataformas como o Deepseek também foram exploradas. Essa tendência indica um novo vetor de ataque que os cibercriminosos estão explorando ativamente.

Como se Defender Contra Esses Ataques?

A proliferação de sites falsos e backdoors como o Beagle exige uma postura de segurança proativa por parte dos usuários. As seguintes medidas são essenciais:

• Verificação Rigorosa de URLs: Sempre confira a URL antes de clicar em links, especialmente aqueles provenientes de anúncios ou e-mails. Procure por pequenos erros de digitação ou domínios que não correspondem aos oficiais.
• Desconfie de Ofertas Irresistíveis: Se uma ferramenta de IA parece oferecer funcionalidades exclusivas ou acesso antecipado de forma gratuita e fácil, é provável que seja uma fraude.
• Downloads de Fontes Confiáveis: Baixe softwares apenas de sites oficiais dos desenvolvedores ou de lojas de aplicativos reconhecidas. Evite plataformas de download de terceiros não verificadas.
• Mantenha Softwares Atualizados: Utilize um bom antivírus e mantenha-o sempre atualizado. Além disso, mantenha o sistema operacional e todos os outros softwares em dia, pois atualizações frequentemente corrigem vulnerabilidades de segurança.
• Senso Crítico: Desenvolva um senso crítico aguçado. Pergunte-se se a oferta faz sentido, se a fonte é confiável e se há riscos envolvidos. Para aprofundar em como se portar em situações que exigem atenção, confira nosso guia sobre entrevistas de emprego – a mesma atenção aos detalhes pode ser aplicada à segurança digital.
• Educação Contínua: Mantenha-se informado sobre as novas táticas de ataque cibernético. Compreender os riscos é o primeiro passo para evitá-los. Entenda melhor os riscos associados a novas tecnologias, como as baterias de lítio, pode expandir sua percepção sobre segurança.

A segurança digital é um campo em constante evolução, assim como a tecnologia. Assim como novas arquiteturas de processadores prometem revolucionar o mercado, como as que podem surgir com as CPUs Titan Lake, as ameaças cibernéticas também se adaptam. A vigilância e o conhecimento são as melhores defesas contra essas ameaças.

A exploração de ferramentas de IA, como o Claude, para fins maliciosos é um reflexo de como os criminosos se adaptam rapidamente às tendências tecnológicas. É fundamental que os usuários estejam cientes desses riscos e adotem práticas de segurança robustas para proteger seus dados e sistemas. A atenção aos detalhes, especialmente ao baixar software ou interagir com anúncios online, pode fazer toda a diferença.

Em um cenário onde a linha entre o legítimo e o fraudulento pode ser tênue, a cautela é a sua melhor aliada. Para mais dicas sobre como navegar com segurança no mundo digital, saiba mais sobre como se comportar em entrevistas de emprego online, onde a apresentação e a atenção aos detalhes são cruciais.

A capacidade de um site falso do Claude entregar backdoor de Windows via buscas no Google é um alerta claro para a necessidade de uma segurança cibernética robusta e informada. A ingenuidade ou a pressa podem ter consequências graves.

Perguntas Frequentes

O que é exatamente o backdoor Beagle descoberto?

O backdoor Beagle é um software malicioso projetado para se instalar em sistemas Windows. Ele tem a capacidade de estabelecer persistência, o que significa que ele continua ativo mesmo após o computador ser reiniciado. Além disso, ele pode executar comandos arbitrários enviados remotamente, transferir arquivos do sistema infectado para o atacante e até mesmo tentar se apagar do sistema para dificultar a detecção e a remoção.

Como o site falso do Claude engana os usuários?

O site falso, claude-pro.com, imita a aparência e a funcionalidade do site oficial da IA Claude. Ele se promove, possivelmente através de anúncios pagos no Google, como uma ferramenta legítima para desenvolvedores. Ao induzir o usuário a baixar um arquivo ZIP contendo um instalador MSI, ele esconde um processo complexo que instala o backdoor Beagle em segundo plano, muitas vezes usando nomes de arquivos e processos que parecem legítimos, como atualizadores de antivírus.

Quais são os riscos de ter o backdoor Beagle instalado no meu computador?

Os riscos são significativos. Com o backdoor Beagle instalado, seus dados pessoais e confidenciais podem ser roubados. Seus arquivos podem ser acessados e transferidos para criminosos. Além disso, os atacantes podem usar seu computador para executar comandos maliciosos, potencialmente transformando-o em parte de uma botnet para realizar outros ataques cibernéticos ou disseminar mais malware. A persistência do backdoor significa que ele pode permanecer ativo por longos períodos, monitorando suas atividades e roubando informações continuamente.

É possível que outras ferramentas de IA também sejam usadas em ataques semelhantes?

Sim, é altamente provável. Os cibercriminosos estão sempre em busca de novas formas de explorar a confiança e a popularidade de tecnologias emergentes. Como o artigo menciona, outras plataformas de IA, como o Claude Code e o Deepseek, já foram alvos de campanhas semelhantes. À medida que a adoção de IAs cresce, a superfície de ataque para esses tipos de golpes também se expande, tornando essencial que todos os usuários de tecnologia permaneçam vigilantes.