Si usas Claude debes tener cuidado con esta página falsa que quiere atacar tu dispositivo

Cuano una plataforma o aplicación gana popularidad, también se convierte en un excusa para que los cibersdelincuentes creen ataques. Así es el reciente caso de Claude, la IA de Anthropic, de la que se están creando páginas falsas para distribuir malware.

Investigaciones recientes de Sophos han demostrado que los ciberdelincuentes adaptan rápidamente sus tácticas para explotar la confianza de millones de usuarios y empresas en estas plataformas, generando una ola de ataques cada vez más sofisticados.

Cómo operan las páginas falsas de Claude AI

Especialistas en ciberseguridad han detectado operaciones maliciosas que utilizan dominios fraudulentos como “claude-pro[.]com” para replicar visualmente la experiencia del sitio oficial de Claude AI, desarrollado por Anthropic.

Estas páginas, diseñadas con alto nivel de detalle, se promocionan mediante anuncios patrocinados y técnicas de SEO poisoning para aparecer entre los primeros resultados de búsqueda y captar la atención de usuarios desprevenidos.

El proceso es simple pero efectivo: la víctima, en busca de una solución de inteligencia artificial, accede a la página fraudulenta y descarga un archivo que aparenta ser legítimo.

Al ejecutarlo, se instala malware capaz de abrir puertas traseras (backdoors) en el sistema, permitiendo a los atacantes tomar control remoto del dispositivo comprometido.

Tipos de ataques y técnicas utilizadas

Las campañas maliciosas con páginas falsas de Claude AI incorporan técnicas avanzadas para evadir los controles de seguridad tradicionales. Entre los métodos más utilizados se encuentran:

• DLL sideloading: ejecutar código malicioso utilizando componentes legítimos del sistema operativo o de aplicaciones reconocidas.
• Donut Loader: cargar el malware directamente en la memoria del equipo, dificultando su detección por programas antivirus.
• Uso de archivos firmados digitalmente: emplear archivos que cuentan con firmas digitales válidas para simular legitimidad ante los sistemas de defensa.
• Infraestructura falsa: simular servicios de proveedores de seguridad reconocidos para ganar confianza y facilitar el acceso.

Uno de los hallazgos más relevantes fue la identificación de un backdoor previamente no documentado, bautizado como “Beagle”, que permite a los atacantes ejecutar comandos remotos, descargar archivos adicionales, manipular directorios y mantener la persistencia en los dispositivos infectados.

El archivo distribuido desde la página falsa suele incluir componentes como NOVupdate.exe y avk.dll, los cuales, una vez instalados, establecen comunicación con servidores de comando y control (C2). Desde allí, los delincuentes pueden operar el dispositivo a distancia y extraer información sensible.

Qué buscan los atacantes y a quiénes apuntan

El objetivo principal de estos ataques es aprovechar el interés masivo y la confianza en la inteligencia artificial para distribuir malware y obtener acceso no autorizado a sistemas corporativos y personales. Los ciberdelincuentes buscan robar credenciales, datos bancarios, archivos de valor y controlar dispositivos para lanzar nuevas campañas de fraude digital.

La investigación muestra que no se trata de incidentes aislados. Se han detectado múltiples dominios sospechosos asociados no solo a Claude, sino también a otras marcas reconocidas de IA y empresas de ciberseguridad como CrowdStrike, SentinelOne y Trellix.

Esto sugiere la existencia de operaciones coordinadas y en expansión, orientadas a explotar la reputación de firmas tecnológicas para engañar tanto a usuarios individuales como a organizaciones.

Cómo identificar una página falsa y protegerse

La sofisticación de estas campañas obliga a extremar la vigilancia y adoptar nuevas prácticas de seguridad. Los expertos recomiendan:

• Descargar herramientas únicamente desde los sitios oficiales de los proveedores.
• Evitar hacer clic en anuncios patrocinados o enlaces sospechosos que aparecen en buscadores.
• Verificar cuidadosamente las URLs antes de instalar cualquier software, prestando atención a diferencias sutiles en la dirección web.
• Mantener actualizadas las soluciones antivirus y reforzar el monitoreo de las conexiones de red para detectar actividad inusual.
• No confiar ciegamente en archivos firmados o en componentes que aparentan legitimidad, ya que los atacantes pueden utilizar técnicas para simular autenticidad.

La presión por incorporar rápidamente inteligencia artificial en empresas y hogares está superando, en muchos casos, los procesos de validación y las políticas de seguridad. Los equipos de IT deben revisar y actualizar sus protocolos para gestionar el acceso, las descargas y la validación de herramientas externas.