Sicherheitsforscher haben eine neue Kampagne entdeckt, bei der Angreifer KI-Inhalte als Waffe einsetzen, um Schadsoftware zu verbreiten. Der Claude-ClickFix-Angriff richtet sich gegen macOS-Nutzer, indem er technische Anweisungen präsentiert, die legitim wirken, aber heimlich einen Infostealer installieren.
Anstatt Softwarefehler auszunutzen, manipulieren die Angreifer das Verhalten der Nutzer. Die Opfer glauben, ein Problem zu beheben oder ein Werkzeug zu installieren, führen jedoch selbst die Infektion aus.
Wie Opfer auf den Angriff stoßen
Die Kampagne beginnt mit beworbenen Suchergebnissen. Nutzer, die nach Entwickler-Tools, Systemreparaturen oder Konfigurationshilfe suchen, sehen Links, die hilfreich und technisch erscheinen.
Diese führen zu Seiten mit KI-generierten Anleitungen oder gefälschter Support-Dokumentation. Die Schritte leiten durch eine Fehlerbehebung, die damit endet, einen Befehl in das macOS-Terminal zu kopieren.
Die Anleitung wirkt realistisch und detailliert. Da fortgeschrittene Nutzer regelmäßig Terminalbefehle ausführen, erscheint der Vorgang gewöhnlich und weckt zunächst keinen Verdacht.
Was nach der Ausführung passiert
Der Befehl führt keine Reparatur durch. Stattdessen lädt er ein verborgenes Skript, das einen Loader auf dem System installiert. Dieser lädt anschließend im Hintergrund den MacSync-Infostealer herunter.
Die Malware verbindet sich mit entfernten Servern und tarnt ihre Aktivität als normalen Datenverkehr. Die Infektion erfolgt ohne sichtbare Warnungen, sodass der Nutzer die Kompromittierung nicht bemerkt.
Welche Daten gestohlen werden
Nach der Installation sammelt der Infostealer sensible Informationen vom Gerät. Ziel sind Daten, die Kontoübernahmen und finanziellen Diebstahl ermöglichen.
Das Programm extrahiert gespeicherte Browser-Zugangsdaten, Schlüsselbund-Einträge, Authentifizierungs-Token und Kryptowallet-Dateien. Die gesammelten Daten werden gebündelt und an die Infrastruktur der Angreifer übertragen.
Um unentdeckt zu bleiben, löscht die Software temporäre Dateien und reduziert Spuren ihrer Aktivität nach Abschluss der Übertragung.
Warum die Methode funktioniert
Die Kampagne ist erfolgreich, weil sie Vertrauen statt Schwachstellen ausnutzt. Nutzer vertrauen häufig Anweisungen, die technisch, konkret und relevant erscheinen.
KI-generierte Anleitungen verstärken dieses Vertrauen. Die Erklärungen wirken präzise und hilfreich, wodurch Skepsis sinkt und die Ausführung wahrscheinlicher wird. Der Nutzer wird so selbst zum Auslöser der Schadsoftware.
Empfohlene Schutzmaßnahmen
Sicherheitsexperten raten, Terminalbefehle wie ausführbare Programme zu behandeln. Befehle, die externe Skripte laden oder verschleierten Code enthalten, sollten vor der Ausführung überprüft werden.
Im Zweifel sollte jeder Teil des Befehls analysiert oder mit offizieller Dokumentation abgeglichen werden. Das blinde Kopieren von Befehlen aus Suchergebnissen erhöht das Risiko erheblich.
Fazit
Der Claude-ClickFix-Angriff zeigt, wie sich Cyberkriminalität in Richtung KI-gestützter Social-Engineering-Methoden entwickelt. Angreifer müssen Systeme nicht mehr direkt kompromittieren, wenn sie Nutzer dazu bringen können, sich selbst zu infizieren.
Indem Malware als technische Anleitung getarnt wird, umgehen sie klassische Schutzmechanismen und Sicherheitsgewohnheiten. Das Überprüfen von Anweisungen vor der Ausführung wird entscheidend, da KI-generierte Inhalte zunehmend Teil des Arbeitsalltags werden.
0 Kommentare zu „Claude-ClickFix-Angriff verbreitet Mac-Infostealer“