oogle-Ads und Claude-Chats missbraucht

Malvertising-Welle: Mac-Malware über echte Claude-Chats verbreitet

Claude
Bildquelle: Urbano Creativo/Shutterstock.com
LinkedInRedditWhatsApp

Hacker nutzen Google-Ads und offizielle Claude.ai-Chats, um Mac-Nutzer zur Installation von Infostealern zu verleiten. Ein Terminal-Befehl stiehlt Passwörter.

Sicherheitsforscher haben eine Malvertising-Kampagne identifiziert, die gezielt Nutzer des Betriebssystems macOS ins Visier nimmt. Die Angreifer kombinieren dabei manipulierte Google-Suchanzeigen mit der „Shared Chat“-Funktion der KI-Plattform Claude.ai von Anthropic. Das Besondere an dieser Methode: Die in den Anzeigen verlinkte URL führt auf die legitime Domain des KI-Anbieters, was herkömmliche Sicherheitsprüfungen und das Misstrauen der Anwender unterläuft. Ziel der Kampagne ist die Infektion der Rechner mit einem Infostealer, der sensible Daten wie Passwörter und Browser-Cookies entwendet.

Anzeige

Echte URLs als Köder

Die Kampagne, die von Berk Albayrak, einem Sicherheitsingenieur der Trendyol Group, sowie von Analysten von BleepingComputer dokumentiert wurde, beginnt bei einer einfachen Google-Suche. Nutzer, die nach Begriffen wie „Claude mac download“ suchen, erhalten gesponserte Suchergebnisse (Google Ads).

Im Gegensatz zu herkömmlichen Phishing-Versuchen, bei denen oft Tippfehler-Domains (Typosquatting) verwendet werden, zeigen diese Anzeigen die korrekte Ziel-URL claude.ai an. Die Hacker nutzen hierbei die Tatsache aus, dass Anthropic es Nutzern erlaubt, öffentliche Links zu Chat-Verläufen zu erstellen. Die Anzeige führt den Nutzer also nicht auf eine gefälschte Webseite, sondern direkt in einen echten, aber von den Angreifern präparierten Claude-Chat.

Social Engineering im Chat-Interface

Innerhalb des geteilten Chats wird eine professionelle Installationsanleitung simuliert. Die Angreifer geben sich als „Apple Support“ aus und präsentieren einen Guide mit dem Titel „Claude Code on Mac“. Durch diese Form des Social Engineering wird dem Nutzer suggeriert, er folge einem offiziellen Prozess zur Einrichtung der KI-Software auf seinem System.

Anzeige

Der Chat fordert den Anwender dazu auf, das Terminal von macOS zu öffnen und einen spezifischen Befehl hineinzukopieren. Da die Plattform Claude.ai als vertrauenswürdig gilt und die Anleitung optisch ansprechend gestaltet ist, ist die Hemmschwelle für die Ausführung eines solchen Befehls bei vielen Nutzern herabgesetzt. Tatsächlich verbirgt sich hinter diesem Befehl jedoch ein Base64-kodierter Payload, der den eigentlichen Schadcode nachlädt.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Polymorphe Payloads und technisches Opfer-Profiling

Die technische Untersuchung der Kampagne zeigt eine hohe Komplexität bei der Auslieferung der Malware. Der in das Terminal kopierte Befehl lädt ein Shell-Skript (loader.sh) von externen Servern nach. Sicherheitsforscher beobachteten, dass die Angreifer eine Technik namens „polymorphe Auslieferung“ einsetzen. Dabei generiert der Server bei jeder Anfrage eine leicht veränderte, obfuskierte Version des Payloads. Dies erschwert es Antiviren-Lösungen, den Download anhand bekannter Datei-Hashes oder Signaturen zu blockieren.

Bevor die eigentliche Malware aktiv wird, führt das Skript eine Profilerstellung des Opfers durch. Es sammelt folgende Daten:

  • Die externe IP-Adresse des Rechners.
  • Den Hostnamen und die Version des Betriebssystems.
  • Die installierten Tastaturlayouts.

Ein interessantes Detail der Programmierung: Das Skript prüft, ob die Tastatur auf Russisch oder eine Sprache der GUS-Region (Gemeinschaft Unabhängiger Staaten) eingestellt ist. Wird eine solche Einstellung gefunden, bricht das Skript die Infektion ab und sendet den Status cis_blocked an den Server der Angreifer zurück. Dies deutet darauf hin, dass die Betreiber der Kampagne entweder in diesen Regionen ansässig sind oder dortige Ziele bewusst aussparen wollen, um juristische Verfolgungen in ihren Heimatländern zu vermeiden.

MacSync: Der Fokus liegt auf dem Datendiebstahl

Sollte das System den Profiling-Check bestehen, wird die zweite Stufe der Malware geladen. Diese wird über osascript, die integrierte Skriptsprache von macOS, direkt im Arbeitsspeicher ausgeführt. Da der Schadcode weitestgehend speicherresident agiert und kaum Spuren auf der Festplatte hinterlässt, wird die Entdeckung durch dateibasierte Scanner minimiert.

Sicherheitsingenieur Albayrak identifizierte die Malware als eine Variante des „MacSync“-Infostealers. Die Hauptfunktionen dieser Schadsoftware umfassen:

  1. Keychain-Extraktion: Das Auslesen des macOS-Schlüsselbunds, in dem System- und Anwendungs-Passwörter gespeichert sind.
  2. Browser-Spionage: Die Ernte von gespeicherten Anmeldedaten, Formulardaten und vor allem Session-Cookies aus Browsern wie Safari, Chrome und Firefox.
  3. Exfiltration: Das Paketieren und Versenden der gestohlenen Informationen an den Command-and-Control-Server (C2) der Angreifer.

Mit den gestohlenen Cookies können Angreifer sogenannte „Session Hijacking“-Angriffe durchführen. Dabei übernehmen sie aktive Sitzungen von Nutzern (z. B. bei Banking-Portalen oder Cloud-Diensten), ohne das Passwort oder die Zwei-Faktor-Authentifizierung (2FA) kennen zu müssen.

Prävention und Schutzmaßnahmen für macOS-Nutzer

Diese Kampagne verdeutlicht eine neue Qualität des Malvertising. Da die verlinkten URLs legitim sind, können sich Nutzer nicht mehr allein auf die Anzeige der Domain im Browser verlassen. Experten raten zu folgenden Vorsichtsmaßnahmen:

  • Direkte Navigation: Besuchen Sie die offiziellen Webseiten von Softwareanbietern (z. B. anthropic.com oder direkt claude.ai) durch manuelle Eingabe in die Adresszeile, anstatt auf gesponserte Suchergebnisse zu klicken.
  • Vorsicht bei Terminal-Befehlen: Kopieren Sie niemals Befehle in das Terminal, deren Funktion Sie nicht vollständig verstehen. Offizielle Software-Installationen für Endnutzer erfolgen auf dem Mac in der Regel über .dmg– oder .pkg-Dateien oder den App Store, nicht über Chat-Anweisungen im Terminal.
  • Verwendung von CLI-Tools: Die legitime „Claude Code“-Schnittstelle ist über offizielle Entwickler-Dokumentationen von Anthropic verfügbar und wird über etablierte Paketmanager wie npm installiert, nicht über Shared Chats.

Anthropic und Google wurden über die missbräuchliche Nutzung ihrer Dienste informiert. Es ist zu erwarten, dass die betroffenen Shared Chats deaktiviert werden, doch die Angreifer können jederzeit neue Chats mit veränderten URLs erstellen.


Autorenbild Lisa Löw

Lisa

Löw

Junior Online-Redakteurin

IT-Verlag

Anzeige
Claude
12. Mai 2026
Malvertising-Welle: Mac-Malware über echte Claude-Chats verbreitet
Zusamenarbeit
12. Mai 2026
Oberste Direktive: Warum IT aufhören muss zu helfen
Schadprogramme, Malware, Cyber Crime
12. Mai 2026
PCPJack: Neuer Cloud-Wurm verdrängt aktiv konkurrierende Malware
Malware, Daemon Tools Supply Chain Angriff, manipulierte Downloads verbreiten Malware, Supply Chain Angriff, Daemon Tools Malware, Daemon Tools, Cyberangriff
12. Mai 2026
KI-Sicherheitsleck: Malware-Angriff über Hugging Face enttarnt

Weitere Artikel

PCPJack: Neuer Cloud-Wurm verdrängt aktiv konkurrierende Malware
KI-Sicherheitsleck: Malware-Angriff über Hugging Face enttarnt
Ransomware-Angriffe nehmen zu – Lösegeldforderungen steigen
Immobilienkredite und Cybergefahren: BaFin mahnt zur Vorsicht
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.