Alerta de ciberseguridad: Página falsa de Claude AI distribuye el nuevo malware Beagle

La creciente popularidad de las herramientas de inteligencia artificial generativa ha abierto una ventana de oportunidad para los ciberdelincuentes. Recientemente, el equipo de investigación de Sophos X-Ops detectó una sofisticada campaña fraudulenta que suplanta la identidad de Claude AI, el asistente de inteligencia artificial desarrollado por Anthropic. Los atacantes utilizan técnicas avanzadas de posicionamiento web malicioso y anuncios pagados para engañar a usuarios corporativos y particulares.

El fraude cobra especial relevancia en el contexto actual de adopción tecnológica. En México, por ejemplo, el 66% de la población ya interactúa de forma cotidiana con plataformas de inteligencia artificial, según datos del estudio Our Life with AI de Ipsos y Google. Esta asimilación masiva convierte a los usuarios locales en un objetivo sumamente atractivo para las redes de distribución de malware.

El engaño detrás del dominio fraudulento claude-pro[.]com

Los operadores de esta campaña diseñaron una infraestructura digital que replica con exactitud la interfaz visual del sitio oficial de Claude. A través de la dirección web engañosa claude-pro[.]com, los cibercriminales promueven descargas de software aparentemente legítimas. Sin embargo, la instalación oculta códigos maliciosos capaces de comprometer la seguridad de los sistemas operativos al abrir puertas traseras (backdoors).

Durante el análisis técnico de la amenaza, los especialistas descubrieron un hallazgo alarmante. Aunque inicialmente asociaron la campaña con el conocido código nocivo PlugX, la inspección profunda reveló una amenaza inédita. Los analistas identificaron un componente de intrusión remota que no estaba documentado en los registros globales de ciberseguridad, al cual bautizaron con el nombre de “Beagle”.

La evolución de estas tácticas refleja un cambio de estrategia en el cibercrimen organizado. Los delincuentes adaptan con rapidez sus herramientas tradicionales al auge de la inteligencia artificial para construir esquemas de fraude altamente convincentes y dañinos.

Técnicas avanzadas de evasión y archivos detectados

La peligrosidad de esta campaña radica en su capacidad para burlar las defensas perimetrales y los sistemas antivirus convencionales. Los atacantes emplean fragmentos de código legítimos y provistos de firmas digitales válidas para camuflar sus operaciones. Entre los métodos de ocultación más notorios destacan:

• Ejecución mediante DLL sideloading: Utiliza archivos del sistema para cargar librerías maliciosas de forma secundaria.
• Inyección directa en memoria: Emplea la herramienta Donut Loader para alojar el código dañino sin dejar rastro en el disco duro.
• Uso de firmas digitales válidas: Manipula certificados de seguridad para aparentar autenticidad ante el sistema operativo.
• Infraestructura de simulación: Configura redes de servidores que imitan la identidad de proveedores globales de software de seguridad.

Una vez que el usuario ejecuta el instalador fraudulento, el sistema distribuye de manera silenciosa tres componentes específicos : NOVupdate.exe , avk.dll y NOVupdate.exe.dat. Posteriormente, estos archivos establecen un canal de comunicación directo con los servidores de comando y control (C2) de la red criminal. Esta conexión remota permite a los atacantes administrar directorios, descargar cargas útiles adicionales y consolidar su persistencia dentro de la red corporativa.

Recomendaciones de seguridad para empresas y usuarios

La diversificación de los ataques de malvertising y suplantación de identidad (phishing) obliga a adoptar una postura de prevención activa. Paralelamente a la campaña de Claude AI, se han identificado múltiples dominios falsos que utilizan nombres de marcas reconocidas de ciberseguridad, lo que sugiere una expansión inminente del ataque.

Para mitigar los riesgos asociados a esta infraestructura maliciosa, es fundamental implementar las siguientes pautas de protección:

1. Restringir los canales de descarga: Acceda y descargue aplicaciones de inteligencia artificial únicamente desde las plataformas y portales web oficiales de los desarrolladores.
2. Evitar enlaces patrocinados: Ignore las opciones publicitarias o anuncios destacados que despliegan los motores de búsqueda al realizar consultas comerciales.
3. Auditar los enlaces URL: Verifique minuciosamente la composición y el dominio de las direcciones de internet antes de iniciar cualquier descarga de archivos.
4. Monitorear el tráfico de red: Establezca reglas de supervisión para detectar conexiones salientes hacia los servidores e indicadores de compromiso relacionados con esta campaña.
5. Actualizar el ecosistema de defensa: Mantenga las plataformas de protección de endpoints y soluciones globales de ciberseguridad actualizadas con las firmas más recientes.

Los detalles técnicos extendidos y la lista completa de indicadores de compromiso se encuentran disponibles para su consulta en el espacio de investigación oficial Sophos X-Ops Research Blog.