脅威アクターが偽のClaudeコードダウンロードを悪用
脅威アクターは、AnthropicのClaude Codeツールへの関心を悪用し、偽のダウンロードページを設置し、最終的にmshta.exeを介して軽量なインフォステーラー型マルウェアを展開しています。
このキャンペーンは、単一の「Living-off-the-land binary (LOLBIN)」が複雑なマルウェアフレームワークなしで効果的なデータ窃取チェーンを構築することができるという点を示しています。
偽のダウンロードページの設置
脅威アクターは、合法的なClaude Codeダウンロードポータルに見えるドメインを登録または侵害し、検索結果、広告、およびソーシャルメディア投稿を通じて開発者や高度なユーザーを標的としています。
このインシデントでは、ドメインit[.]comが配信ポイントとして使用され、偽のインストーラーやダウンロードリンクがホストされています。これらのリンクは、Claude Codeデスクトップアプリケーションを提供すると主張しています。
攻撃の詳細
被害者が「ダウンロード」ボタンをクリックすると、スクリプトベースのローダーやショートカットファイルが提供され、実際のインストーラーではなく、ビルトインのWindowsバイナリに実行を渡します。
このアプローチは、以前のキャンペーンで偽のAIツールやインストーラーを悪用した方法と似ています。ChatGPTやClaudeのブランドは、ユーザーが署名のないコードを実行するのに十分な説得力があります。
mshta.exeの役割
この攻撃の重要な要素は、mshta.exe(MicrosoftのHTML Application Host)です。これは、長い間悪用されてきたLOLBINで、HTAファイルやリモートスクリプトを実行するための信頼性が高く、スクリプトフレンドリーな方法を提供します。
HTAは、追加のスクリプトやシェルコマンドをデコードし、実行して、資格情報、ブラウザデータ、システム情報を収集し、攻撃者が制御するインフラストラクチャにエクスフィルトレーションします。
防御者の役割
このキャンペーンは、mshta.exeの警告を背景ノイズや低優先度のイベントとして扱うことはできないことを示しています。
セキュリティチームは、mshta.exeプロセス、特に外部ドメインに到達するプロセスがマルウェアチェーンの最初で唯一の手がかりになる可能性があることを繰り返し発見しています。
エンドポイント制御が最終的なペイロードをブロックした場合でも、初期のmshta.exe呼び出しは、より広範なハンティングや対応のための重要なインディケーターオブコムプローションを提供します。
結論
防御者は、リモートHTAの実行、mshta.exeの予期しない親プロセス、および新しく見られるドメインへのアウトバウンド接続など、低ノイズの強力なシグナルを提供する検出を調整する必要があります。