Gefälschte Claude-AI-Webseite nutzt Windows-Backdoor über Google-Suchergebnisse

Eine gefälschte Claude-AI-Website verbreitet über gesponserte Google-Suchergebnisse eine neue Windows-Backdoor. Die schädliche Domain (claude-pro[.]com) gibt sich als echte Claude-Oberfläche aus und bietet ein gefälschtes Tool namens Claude-Pro Relay an. Sophos X-Ops hat heute eine vollständige Analyse der Kampagne veröffentlicht. Malwarebytes hat sie zuerst entdeckt.

Die Masche richtet sich an Entwickler. Die Website bewirbt Claude-Pro Relay als "high-performance relay service designed specifically for Claude Code developers." Auf der Seite lässt sich letztlich nur ein Download-Button anklicken. Dieser lädt eine 505MB große ZIP-Datei namens Claude-Pro-windows-x64.zip herunter, die einen MSI-Installer enthält. Der Installer legt drei Dateien im Windows-Autostartordner ab: einen legitimen, signierten G-Data-Antivirus-Updater, der in NOVupdate.exe umbenannt wurde, eine verschlüsselte Datendatei und eine schädliche DLL namens avk.dll. Installiert wird das Ganze unter C:\Program Files (x86)\Anthropic\Claude\Cluade (inklusive Tippfehler), doch den Installationspfad prüft kaum jemand.

So funktioniert die Infektionskette

Die signierte G-Data-Binärdatei wird genutzt, um avk.dll per Sideloading zu laden. Das ist der Kern der Technik, das Vertrauen in ein legitimes Sicherheitstool wird ausgenutzt, um Schutzmechanismen zu umgehen. Die DLL entschlüsselt die verschlüsselte Nutzlast mit einem umgekehrten XOR-Schlüssel, übergibt sie an DonutLoader, und DonutLoader installiert die Beagle-Backdoor auf dem System.

Beagle verbindet sich mit licence[.]claude-pro[.]com über TCP-Port 443 oder UDP-Port 8080. Der Datenverkehr wird mit einem fest kodierten AES-Schlüssel verschlüsselt und wirkt dadurch für Beobachter im Netzwerk wie normaler HTTPS-Traffic. Die Backdoor unterstützt acht Befehle: Shell-Ausführung, Dateiübertragung, Verzeichnisauflistung und Selbstentfernung. Das reicht für vollständigen Fernzugriff. Mit dem alten Delphi-basierten Beagle-Wurm aus dem Jahr 2004 hat das nichts zu tun, gleicher Name, komplett andere Malware.

Sophos hatte zunächst PlugX erwartet. Die Sideloading-Struktur, G-Data-Binärdatei, avk.dll und XOR-verschlüsselte Nutzlast, entspricht derselben Kette, die Lab52 im Februar 2026 in einer PlugX-Kampagne mit gefälschten Meeting-Einladungen dokumentiert hat. Die Nutzlast hat sich jedoch als eine andere herausgestellt. Sophos geht nun davon aus, dass der Angreifer entweder eine bekannte Kette umgebaut oder die Technik vollständig von einer anderen Gruppe übernommen hat.

Die Betreiber sind nicht untätig geblieben. Malwarebytes hat nachverfolgt, dass sie im April 2026 den Massenmailing-Anbieter von Kingmailer zu CampaignLark gewechselt und ihre Infrastruktur rotiert haben, um Sperrlisten zu umgehen. Der Hosting-Server selbst ist im März 2026 eingerichtet worden, womit der Beginn der Kampagne etwa sechs Wochen vor der heutigen öffentlichen Offenlegung liegt.

Ein Muster KI-basierter Angriffe

Das ist bereits das dritte Mal innerhalb von etwa einem Jahr, dass Angreifer die Markenkennung von KI-Tools für eine DLL-Sideloading-Kampagne genutzt haben. Bitdefender hat im März 2026 gefälschte Claude-Code-Seiten über Google Ads entdeckt, die ClickFix nutzten, um Entwickler zum Einfügen schädlicher Terminalbefehle zu verleiten. Davor haben gefälschte DeepSeek-Installer-Websites Anfang 2025 dieselbe Sideloading-Kette verwendet. Die KI-Marke ändert sich je nachdem, was gerade in Suchanfragen gefragt ist. Die Infektionsmethode bleibt gleich.

Die Kampagne läuft über gesponserte Suchergebnisse. Dadurch stand die gefälschte Website über dem echten Claude-Eintrag, wenn Nutzer gesucht und ohne Prüfung der Domain geklickt haben. Claude ist nur unter claude.com verfügbar. Anthropic hat kein Produkt namens Claude-Pro Relay veröffentlicht. Laut Sophos ist das Auffinden von NOVupdate.exe oder avk.dll im Windows-Autostartordner ein verlässliches Anzeichen dafür, dass das Gerät kompromittiert ist.

Notebookcheck hat zuvor über einen separaten Vorfall berichtet, bei dem ein in Cursor ausgeführter KI-Coding-Agent ohne Nutzerbestätigung die gesamte Produktionsdatenbank eines Startups sowie alle Backups eigenständig gelöscht hat. Der Fall verdeutlicht die wachsenden Risiken beim Einsatz von KI-Tools ohne geeignete Schutzmaßnahmen.