Cyberkriminelle nutzen Google Ads und öffentlich geteilte Claude AI-Chats, um macOS-Nutzer dazu zu bringen, ihre Geräte mit Malware zu infizieren, die als legitime Installationsanweisungen getarnt ist.
Die Kampagne richtet sich an Nutzer, die bei Google nach Begriffen wie “Claude Mac Download” suchen. Den Opfern werden gesponserte Suchergebnisse angezeigt, die offenbar zur legitimen Claude-KI-Plattform führen, Nutzer jedoch stattdessen auf böswillige Installationsseiten umleiten.
Forscher fanden heraus, dass Angreifer öffentlich zugängliche Claude.ai geteilte Chats missbrauchten, um gefälschte Einrichtungsanweisungen zu hosten, die sich als offizielle Anweisungen des “Apple Support” ausgaben. Die bösartigen Chats weisen die Nutzer an, das Terminal zu öffnen und Befehle einzufügen, die lautlos Malware auf macOS-Systemen herunterladen und ausführen.
Security researcher Berk Albayrak zuerst identifizierte er die Operation und warnte, dass mehrere bösartige Claude-Chats gleichzeitig mit unterschiedlicher Infrastruktur und Nutzlasten verwendet werden.
Der Angriff beruht stark auf Vertrauensmanipulation. Anstatt Opfer auf offensichtlich gefälschte Phishing-Domains zu lenken, missbrauchen Angreifer legitime Dienste und vertrauenswürdige Plattformen, um die bösartigen Anweisungen authentisch erscheinen zu lassen. Forscher sagen, dass dies die Wahrscheinlichkeit erheblich erhöht, dass technisch versierte Nutzer die Anweisungen ohne Verdacht befolgen.
AdGuard-Forscher dokumentierten zuvor ähnliche Kampagnen mit bösartigen nutzergenerierten Seiten, die direkt auf der Claude.ai Domain gehostet wurden. Angreifer erstellten gefälschte Installationsanleitungen mit versteckten Befehlen, die dazu dienten, Malware von angreifergesteuerten Servern herunterzuladen. Da die Seiten auf einer legitimen Claude.ai-Subdomain existierten, gingen viele Nutzer fälschlicherweise davon aus, dass der Inhalt offiziell unterstützt wurde.
Die bösartigen Befehle verwenden oft obfuskierte oder Base64-codierte Shell-Skripte, um ihr wahres Verhalten zu verbergen. Nach Ausführung kann die Nutzlast zusätzliche Malware herunterladen, Persistenz etablieren, Zugangsdaten stehlen und Angreifern Fernzugriff auf infizierte Systeme gewähren.
Frühere Untersuchungen von Bitdefender und Sophos verknüpften verwandte Kampagnen mit Malware-Familien wie MacSync, Beagle, DonutLoader und PlugX-assoziierten Hintertüren. Einige Varianten richteten sich gezielt an Entwickler und Sicherheitsexperten und zielten darauf ab, Browserzugangsdaten, SSH-Schlüssel, Kryptowährungs-Wallets, GitHub-Token und Unternehmenszugangsdaten zu stehlen.
Forscher sagen, dass die Kampagne besonders gefährlich ist, weil sie sich natürlich in gängige Entwickler-Arbeitsabläufe einfügt. Nutzer, die nach KI-Coding-Tools oder Paketmanagern suchen, erwarten bereits, Terminalbefehle im Rahmen der Installationsprozesse auszuführen, was bösartige Anweisungen weniger verdächtig macht als herkömmliche Phishing-Techniken.
Auch der Missbrauch von Google Ads ist zu einem großen Problem geworden. Angreifer kaufen gesponserte Suchergebnisse mit vertrauenswürdigen Schlüsselwörtern, wodurch bösartige Links über legitimen Suchergebnissen erscheinen können. In mehreren dokumentierten Fällen zeigten die Anzeigen authentisch aussehende Claude.ai URLs, obwohl die verlinkten Inhalte angreifergesteuerte nutzergenerierte Inhalte waren.
Forscher warnen, dass macOS-Nutzer vermeiden sollten, blind Terminalbefehle aus KI-Chats, Foren oder Suchergebnissen zu kopieren, selbst wenn die Seiten zu vertrauenswürdigen Domains zu gehören scheinen. Sicherheitsexperten empfehlen außerdem, gesponserte Links sorgfältig zu inspizieren und Installationsanweisungen zu vermeiden, die codierte oder stark verschleierte Shell-Befehle verwenden.