Investigadores de Sophos X-Ops descubrieron una campaña que aprovecha el auge de la inteligencia artificial para engañar a usuarios y empresas mediante un falso sitio de Claude AI

La popularidad de las herramientas de inteligencia artificial se ha convertido en una nueva oportunidad para los ciberdelincuentes. Investigadores de Sophos alertaron sobre una sofisticada campaña maliciosa que utiliza una página falsa de Claude AI, el conocido asistente de IA de Anthropic, para distribuir malware, utilizando anuncios patrocinados y técnicas de SEO poisoning para engañar a usuarios y organizaciones.

La inteligencia artificial se ha convertido en parte de la vida diaria de millones de personas en Chile. De acuerdo con el estudio Our Life with AI de Ipsos y Google, un 73% de los chilenos cree que la IA los beneficiará, una tendencia que también está siendo aprovechada por ciberdelincuentes para lanzar nuevas campañas de fraude y malware.

De acuerdo con el más reciente análisis de Sophos X-Ops, los atacantes crearon un sitio fraudulento denominado “claude-pro[.]com”, diseñado para imitar visualmente la página legítima de Claude. A través de descargas aparentemente legítimas, la campaña instala malware capaz de abrir puertas traseras (backdoors) en los equipos comprometidos.

Lo que inicialmente parecía ser una campaña tradicional vinculada al malware PlugX, terminó revelando un hallazgo más preocupante: los investigadores identificaron un backdoor previamente no documentado, al que denominaron “Beagle”.

“Los ciberdelincuentes están aprovechando rápidamente el interés global en herramientas de inteligencia artificial para desarrollar campañas cada vez más convincentes y peligrosas. Este caso demuestra cómo técnicas clásicas de malware están evolucionando para adaptarse al boom de la IA”, señaló Sophos X-Ops.

Malware disfrazado de software legítimo

La investigación reveló que la campaña utiliza componentes legítimos y firmados digitalmente de software antivirus para evadir mecanismos de seguridad. Entre las técnicas identificadas destacan:

• DLL sideloading
• Malware cargado directamente en memoria mediante Donut Loader
• Uso de archivos firmados para aparentar legitimidad
• Infraestructura maliciosa disfrazada de proveedores de seguridad

El archivo distribuido desde la página falsa instala varios componentes sospechosos en el sistema, incluyendo archivos como:

• NOVupdate.exe
• avk.dll
• NOVupdate.exe.dat

Posteriormente, el malware establece comunicación con servidores de comando y control (C2), permitiendo a los atacantes ejecutar comandos remotos, descargar archivos, manipular directorios y mantener persistencia en los dispositivos infectados.

El auge de la IA también impulsa nuevas amenazas

Sophos advirtió que los ciberdelincuentes están capitalizando la enorme conversación pública alrededor de plataformas de inteligencia artificial como Claude, ChatGPT y otras herramientas generativas para lanzar campañas de malvertising y phishing más efectivas.

Además, los investigadores detectaron múltiples dominios sospechosos relacionados con marcas de ciberseguridad reconocidas, incluyendo referencias falsas a empresas como CrowdStrike, SentinelOne y Trellix, lo que sugiere una operación más amplia y en evolución.

Recomendaciones para empresas y usuarios en Chile

Ante este panorama, Sophos recomienda:

• Descargar herramientas de IA únicamente desde sitios oficiales
• Evitar hacer clic en anuncios patrocinados o resultados sospechosos en buscadores
• Verificar cuidadosamente URLs antes de descargar software
• Monitorear conexiones hacia dominios sospechosos relacionados con esta campaña
• Mantener soluciones de ciberseguridad actualizadas

La investigación completa puede consultarse en el blog oficial de Sophos: Sophos X-Ops Research Blog