Claude偽装サイトでPlugX RAT拡散　DLLサイドローディング悪用

Claude偽装サイトによるPlugX配布手法

AnthropicのAIチャットボットClaudeを装う偽サイトを通じて、PlugXリモートアクセス型マルウェア（RAT）が配布される事例が確認された。攻撃はDLLサイドローディング手法を利用し、ZIP形式のファイルをダウンロードさせることで実行される。

配布されたZIPにはMSIインストーラーが含まれており、正規ソフトと誤認させる構成となっている。実行後、VBScriptが起動し、「NOVUpdate.exe」と悪性DLL「avk.dll」がスタートアップフォルダに配置されることで永続化が行われる。

その後、正規プログラムを利用してDLLを読み込ませることで、暗号化されたペイロードを復号・実行し、外部のC2サーバーとの通信が確立される。こうした挙動により、情報窃取や監視機能が実行される仕組みとなっている。

本件は、AI関連サービスを装った配布手口と、DLLサイドローディングを組み合わせた攻撃事例として確認されている。