Thought Leadership
Die Phishing-Methode LLMShare missbraucht die Code-Rendering-Funktion von ChatGPT zur unbemerkten Verbreitung von Schadsoftware in Firmennetzen.
Sicherheitsanalysten des IT-Sicherheitsunternehmens Push Security haben eine neuartige, hochentwickelte Cyber-Angriffswelle dokumentiert, die unter der Bezeichnung LLMShare geführt wird. Bei dieser aktiven Kampagne missbrauchen Bedrohungsakteure die offizielle Content-Sharing-Funktion großer Sprachmodell-Plattformen, insbesondere von ChatGPT und Claude. Während Angreifer in der Vergangenheit vorwiegend manipulierte Chat-Protokolle einsetzten, um Anwender mittels Social Engineering zum Ausführen bösartiger Systembefehle zu bewegen, markiert LLMShare eine verfahrenstechnische Weiterentwicklung.
Die Täter nutzen gezielt das Vertrauen von Endanwendern und etablierten IT-Sicherheitsfiltern in die offiziellen Web-Domains chatgpt.com und claude.ai aus. Da diese URLs in Reputationsdatenbanken und sicheren Browsing-Filtern standardmäßig als vertrauenswürdig eingestuft sind, blockieren herkömmliche Schutzsysteme den Zugriff nicht. Die Angreifer leiten potenzielle Opfer über manipulierte Suchmaschinenergebnisse und Suchmaschinen-Optimierungs-Poisoning direkt auf diese legitimen Domains um, auf denen die Schadlasten vorbereitet sind.
Code-Rendering-Funktionen zur Simulation von Systemausfällen
Der technische Kern der LLMShare-Kampagne basiert auf dem gezielten Missbrauch der Code-Rendering-Funktion innerhalb der geteilten Chat-Ansichten von ChatGPT. Über sorgfältig strukturierte Prompts veranlassen die Angreifer den Chatbot dazu, eine vollständige, eigenständige Webseite mittels HTML und CSS zu generieren. Wenn ein Nutzer den manipulierten Freigabelink aufruft, der eine offizielle URL-Struktur aufweist, sieht er kein normales Gesprächsprotokoll. Stattdessen rendert der Browser eine täuschend echte System-Ausfallseite von OpenAI.
Die gefälschte Benachrichtigung simuliert eine temporäre Überlastung des Dienstes aufgrund eines zu hohen Benutzeraufkommens. Der eingebettete Text fordert den Anwender dazu auf, die offizielle Desktop-Applikation herunterzuladen, um den Dienst ohne Unterbrechung weiternutzen zu können. Dass es sich hierbei um ein generiertes Skript handelt, lässt sich für geschulte Augen lediglich an den von ChatGPT automatisch bereitgestellten System-Schaltflächen zum Einsehen des Quellcodes oder zum Remixen des Prompts am oberen Bildschirmrand erkennen. Für den durchschnittlichen Anwender bleibt dieser Umstand im Arbeitsalltag meist unsichtbar.
Plattformübergreifende Infektionen und getarnte Download-Infrastrukturen
Die in die gefälschte Ausfallseite integrierte Download-Schaltfläche leitet das Opfer auf eine externe Domäne weiter, die unter der Adresse openew.app registriert ist. Diese Webseite ist ein präzise gestalteter Klon der offiziellen OpenAI-Download-Plattform, komplettiert mit der entsprechenden Markenidentität, Logos und scheinbar legitimen Installationsanweisungen. Um eine möglichst breite Basis an Systemen zu kompromittieren, ist die Infrastruktur dual ausgelegt. Klickt ein Benutzer auf das Windows-Symbol, wird ein hochentwickelter Loader heruntergeladen, der Passwörter, Browserdaten und Sitzungs-Cookies im Hintergrund entwendet.
Wählt ein Anwender hingegen das macOS-Symbol, wird die Schadsoftware Odyssey Stealer ausgeliefert. Hierbei handelt es sich um eine modifizierte Abspaltung des bekannten Infostealers AMOS. Dieser Trojaner ist darauf spezialisiert, Krypto-Wallets, Passwörter und Telegram-Sitzungen zu extrahieren. Zudem versucht die Schadsoftware, physische Krypto-Brieftaschen-Apps durch kompromittierte Versionen zu ersetzen, um Finanztransaktionen direkt umzuleiten.
Cloaking-Verfahren zur Umgehung automatisierter Sicherheits-Scanner
Um die bösartige Infrastruktur vor der Entdeckung durch Sicherheits- und IT-Teams zu schützen, setzen die Betreiber der Kampagne auf ein fortgeschrittenes Cloaking-Verfahren. Die Server von openew.app analysieren jede eingehende Verbindungsanfrage in Echtzeit. Identifiziert das System den Besucher als echten menschlichen Nutzer, wird die manipulierte Download-Seite für Windows und macOS ausgeliefert. Wird die Anfrage jedoch von einem automatisierten Sicherheits-Scanner, einem Web-Crawler oder einem Sandbox-Analysetool wie URLScan ausgestellt, schaltet der Server die Anzeige um.
In diesem Fall liefert das System eine völlig unverdächtige, statische Webseite aus, beispielsweise den Internetauftritt eines fiktiven Unternehmens für Virtual Reality. Durch diese dynamische Verschleierung scheitern automatisierte URL-Klassifizierungen und Reputationsprüfungen regelmäßig, da die Schadseite bei einer routinemäßigen Überprüfung keine verdächtigen Muster aufweist.
Analoge Angriffsmuster auf der Claude-Plattform von Anthropic
Die Untersuchungen von Push Security dokumentieren, dass dieser Angriffsvektor nicht auf das Ökosystem von OpenAI beschränkt ist. Nahezu identische Varianten wurden auch auf der konkurrierenden Plattform Claude nachgewiesen. Dort erstellten die Angreifer geteilte Chats, die sich als offizielle Installationsanleitungen für das Werkzeug Claude Code auf macOS tarnten. Um die Glaubwürdigkeit zu erhöhen, fälschten die Täter die Urheberschaft und wiesen das Dokument dem offiziellen Apple Support zu. Nutzer, welche den Anweisungen folgten, luden ebenfalls Infostealer auf ihre lokalen Systeme.
Diese plattformübergreifende Aktivität belegt, dass kriminelle Netzwerke systematisch mit verschiedenen KI-Plattformen und Social-Engineering-Ansätzen experimentieren, um die Gutgläubigkeit der Anwender gegenüber vertrauenswürdigen Tech-Marken gezielt auszusetzen. Traditionelle Vertrauenssignale wie die Validität einer HTTPS-Domain verlieren durch den Missbrauch legitimer Anwendungsfunktionen massiv an Aussagekraft.
