Image credit: magnific
Backdoor Baru di Balik Situs Claude AI Palsu – Situs web palsu yang menyamar sebagai layanan kecerdasan buatan (AI) Claude ditemukan menyebarkan unduhan berbahaya bernama Claude-Pro Relay.
Operasi ini bertujuan untuk menyisipkan backdoor Windows yang sebelumnya tidak terdokumentasi, yang oleh para peneliti dinamakan Beagle.
Aktor ancaman mengiklankan Claude-Pro sebagai “layanan relai berkinerja tinggi” yang dirancang khusus untuk pengembang Claude-Code.
Situs palsu tersebut menggunakan skema warna dan fon yang sangat mirip dengan situs asli Claude untuk menipu pengguna.
|
Baca juga: Ancaman Brainrot pada Anak |
Dari Iklan hingga Backdoor Beagle
Berdasarkan laporan dari para peneliti keamanan, situs claude-pro[.]com hanya memiliki satu fungsi aktif, tombol unduh besar yang mengarahkan pengguna ke sebuah arsip ZIP berukuran 505MB.
Di dalamnya terdapat penginstal MSI yang tampak seperti aplikasi Claude-Pro asli, namun sebenarnya membawa rangkaian muatan berbahaya.
Berikut adalah fase teknis serangannya:
- DLL Side-loading: Penyerang menyalahgunakan program pembaru (updater) resmi yang telah ditandatangani secara sah (milik vendor keamanan G Data) untuk memuat file berbahaya bernama avk.dll. Karena aplikasi induknya sah, teknik ini sering kali lolos dari deteksi antivirus tradisional.
- Pemuatan DonutLoader: File DLL tersebut berfungsi untuk mendekripsi dan menjalankan DonutLoader langsung di dalam memori sistem (in-memory).
- Penyebaran Backdoor Beagle: DonutLoader kemudian memasang muatan akhir, yaitu backdoor Beagle. Beagle memiliki kemampuan perintah yang terbatas namun efektif, seperti mengeksekusi perintah sistem (cmd), mengunggah/mengunduh file, serta mengelola direktori di komputer korban.
Meskipun fungsionalitas penginstal Claude-Pro tetap berjalan sesuai harapan pengguna, di latar belakang sistem, peretas telah memiliki akses jarak jauh penuh melalui rantai malware PlugX dan Beagle tersebut.
Taktik Pengelabuan dan Penghindaran Deteksi
Para peneliti mencatat beberapa detail menarik yang menunjukkan bahwa kampanye ini dikelola dengan cukup rapi:
- Komunikasi Terenkripsi: Komunikasi antara malware dan server kontrol (C2) menggunakan kunci AES yang ditanamkan langsung di dalam kode untuk melindungi pertukaran data dari pemantauan jaringan.
- Infrastruktur Awan: Server kontrol dihosting menggunakan layanan Alibaba Cloud untuk menyamarkan lalu lintas data agar tampak seperti lalu lintas awan yang sah.
- Penyamaran Vendor Keamanan: Selain menyamar sebagai Claude AI, sampel Beagle lainnya ditemukan menyamar sebagai situs pembaruan dari berbagai vendor keamanan ternama seperti CrowdStrike, SentinelOne, dan Trellix untuk menjebak para profesional TI.
Penting untuk dicatat bahwa backdoor Beagle ini berbeda dengan worm “Bagle” berbasis Delphi yang pernah didokumentasikan pada tahun 2004.
|
Baca juga: 123456 Masih Jadi Primadona Peretas |
Langkah Mitigasi Keamanan
Penyalahgunaan tren teknologi AI sebagai umpan serangan siber semakin meningkat di tahun 2026. Berikut adalah langkah-langkah mitigasi yang harus Anda ambil:
- Selalu unduh aplikasi AI langsung dari domain resmi (seperti anthropic.com atau claude.ai). Hindari situs dengan nama domain yang mirip namun menggunakan imbuhan seperti “-pro”, “-code”, atau “-relay”.
- Iklan bersponsor di mesin pencari sering kali disalahgunakan oleh penjahat siber. Sebaiknya sembunyikan atau abaikan hasil pencarian berlabel “Iklan” untuk kebutuhan pengunduhan perangkat lunak.
- Kehadiran file bernama NOVupdate.exe, NOVupdate.exe.dat, atau avk.dll di folder Startup Windows Anda merupakan indikasi kuat bahwa sistem telah terinfeksi. Segera lakukan isolasi perangkat jika file-file ini ditemukan.
- Secara berkala periksa aplikasi yang berjalan otomatis saat komputer menyala melalui Task Manager di tab Startup. Waspadai proses yang berasal dari penerbit yang tidak dikenal atau mencurigakan.
Kewaspadaan Terhadap Alat Pengembang AI
Serangan ini secara cerdas menargetkan para pengembang yang sedang mencari alat produktivitas AI terbaru.
Dengan menyamar sebagai infrastruktur pendukung pengkodean, peretas berharap mendapatkan akses ke stasiun kerja pengembang yang sering kali memiliki kredensial sensitif ke repositori kode perusahaan.
Di era AI ini, verifikasi terhadap setiap alat bantu baru yang Anda instal adalah langkah krusial. Pastikan setiap perangkat lunak yang masuk ke lingkungan pengembangan Anda berasal dari sumber yang tervalidasi dan memiliki reputasi keamanan yang jelas.
Sumber berita:
