{"id":130254,"date":"2026-05-07T19:11:15","date_gmt":"2026-05-07T19:11:15","guid":{"rendered":"https:\/\/enfoquenoticioso.com\/?p=130254"},"modified":"2026-05-07T19:11:15","modified_gmt":"2026-05-07T19:11:15","slug":"cuidado-si-usas-claude-hay-una-web-falsa-que-instala-un-peligroso-malware-en-tu-ordenador","status":"publish","type":"post","link":"https:\/\/enfoquenoticioso.com\/?p=130254","title":{"rendered":"Cuidado si usas Claude: hay una web falsa que instala un peligroso malware en tu ordenador"},"content":{"rendered":"
\"Claude<\/figure>\n

Con la popularidad de Claude<\/strong> en ascenso, era cuesti\u00f3n de tiempo para que empez\u00e1ramos a ver estafas que buscan aprovecharse de la IA<\/strong> de Anthropic. La m\u00e1s reciente tiene que ver con una web que imita la oficial y que instala malware<\/strong> en tu ordenador con Windows. Investigadores de Sophos<\/a> y Malwarebytes<\/a> han documentado la campa\u00f1a con detalle y advierten a los usuarios que no caigan en la trampa, o podr\u00edan abrirle la puerta a los hackers.<\/p>\n

De acuerdo con BleepingComputer<\/a><\/em>, existe una web que se presenta como si fuera la p\u00e1gina oficial de Claude<\/strong>, con una paleta de colores y tipograf\u00eda muy similares a las del original. Aunque a primera vista podr\u00eda pasar como aut\u00e9ntica, la realidad es que se trata de una imitaci\u00f3n bastante tosca<\/strong> en donde los enlaces no llevan a ning\u00fan lado, excepto uno. El \u00fanico bot\u00f3n que funciona, y del que debemos cuidarnos, es el que ofrece descargar Claude-Pro Relay<\/strong>, un \u00abservicio de alta velocidad para desarrolladores que usan Claude Code\u00bb.<\/p>\n

El archivo Claude-Pro-windows-x64.zip<\/strong> contiene un instalador que al ejecutarlo, el equipo queda infectado de inmediato. El proceso deposita tres archivos en la carpeta de inicio de Windows: NOVupdate.exe, NOVupdate.exe.dat y avk.dll.<\/p>\n

\"Web<\/figure>\n
\"Web<\/figure>\n

El primero es un ejecutable firmado leg\u00edtimamente, concretamente el actualizador de los antivirus G Data. Los atacantes aprovechan esa firma para cargar de forma encubierta la DLL maliciosa<\/strong>, una t\u00e9cnica para sustituir una biblioteca leg\u00edtima por una versi\u00f3n manipulada. El resultado es que el sistema ejecuta c\u00f3digo da\u00f1ino<\/strong> bajo la apariencia de un proceso de confianza.<\/p>\n

Una vez dentro, esa DLL descifra y ejecuta en memoria el contenido del tercer archivo, que contiene un inyector de c\u00f3digo abierto llamado DonutLoader. Este a su vez despliega un backdoor bautizado como Beagle<\/strong>, que se comunica con el servidor del atacante.<\/p>\n

\n
\n

Tabla de Contenido<\/p>\nToggle<\/span><\/path><\/svg><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n