Die ClaudeAI-Mac-Malwarekampagne richtet sich gegen macOS-Nutzer durch schädliche Google Ads und manipulierte geteilte Claude-Chats. Sicherheitsforscher entdeckten, dass Angreifer legitime Funktionen von Claude.ai missbrauchen, um Malware zu verbreiten, die als Installationsanleitung für Claude-Code-Tools getarnt ist.
Die Kampagne richtet sich hauptsächlich an Entwickler und technische Nutzer, die nach Claude-bezogenen Downloads oder Coding-Tools suchen. Die Forscher warnten, dass der Angriff besonders glaubwürdig wirkt, weil die schädlichen Inhalte direkt auf echten Claude.ai-Seiten gehostet werden.
Angreifer missbrauchten legitime Claude.ai-Seiten
Die ClaudeAI-Mac-Malwarekampagne beginnt mit gesponserten Google-Suchanzeigen, die scheinbar legitime Claude.ai-Links anzeigen.
Nutzer, die nach Claude-Downloads oder KI-Coding-Tools suchen, werden auf öffentliche geteilte Claude-Chats weitergeleitet, die gefälschte Installationsanleitungen enthalten. Die Forscher erklärten, dass sich die Chats als offizielle Einrichtungsanleitungen für Claude Code auf macOS-Systemen ausgeben.
Die schädlichen Seiten weisen Nutzer an, das Terminal zu öffnen und Befehle einzufügen, die heimlich Malware auf ihre Geräte herunterladen.
Da die Inhalte direkt auf Claude.ai statt auf gefälschten Phishing-Domains gehostet werden, vertrauen viele Nutzer den Anweisungen möglicherweise fälschlicherweise.
Die Forscher identifizierten während der Untersuchung mehrere schädliche geteilte Chats mit ähnlichen Social-Engineering-Methoden.
Malware zielte auf Entwickler und technische Nutzer ab
Die Forscher erklärten, dass sich die ClaudeAI-Mac-Malwarekampagne vor allem gegen Entwickler richtet, da deren Systeme häufig sensible Zugangsdaten und Zugriffsschlüssel enthalten.
Die schädlichen Befehle installieren Berichten zufolge Payloads, die Informationen stehlen, Systeme kompromittieren und Angreifern dauerhaften Zugriff auf infizierte Geräte verschaffen können.
Kompromittierte Entwicklersysteme könnten Folgendes offenlegen:
- SSH-Schlüssel
- GitHub-Zugangsdaten
- API-Tokens
- Cloud-Zugriffsschlüssel
- VPN-Konfigurationen
- Zugriff auf interne Infrastruktur
Sicherheitsexperten warnten, dass Infektionen auf Entwicklergeräten breitere Risiken für Lieferketten schaffen könnten, die Repositories und Produktionsumgebungen betreffen.
Die Kampagne zeigt außerdem, wie Cyberkriminelle zunehmend die Popularität von KI-Entwicklungstools ausnutzen, um technische Nutzer zu gefährlichen Handlungen zu verleiten.
Geteilte KI-Inhalte wurden zu einem neuen Angriffsvektor
Die ClaudeAI-Mac-Malwarekampagne verdeutlicht den zunehmenden Missbrauch öffentlicher KI-Sharing-Funktionen und vertrauenswürdiger Plattformen.
Die Forscher erklärten, dass geteilte Claude-Chats nutzergenerierte Seiten sind, die direkt auf der Claude.ai-Domain gehostet werden. Obwohl die Plattform die Inhalte als nutzergeneriert kennzeichnet, verbinden viele Nutzer die Domain weiterhin mit offiziellen Ressourcen von Anthropic.
Die Angreifer kombinierten dieses Vertrauen mit Google Ads, damit die schädlichen Seiten in Suchergebnissen legitim erscheinen.
Sicherheitsforscher warnten außerdem, dass ähnliche KI-bezogene Malwarekampagnen bereits Nutzer angegriffen haben, die nach ChatGPT-Tools, gefälschten KI-Installationsprogrammen und schädlichen GitHub-Repositories suchten.
Der Trend deutet darauf hin, dass Bedrohungsakteure KI-Ökosysteme zunehmend als effektive Verbreitungskanäle für Malware betrachten.
Google-Ads-Malvertising bleibt eine große Bedrohung
Die ClaudeAI-Mac-Malwarekampagne spiegelt außerdem das anhaltende Wachstum von Malvertising über Google Ads wider.
Cyberkriminelle kaufen regelmäßig gesponserte Suchplatzierungen, die vertrauenswürdige Softwaremarken und Entwicklerplattformen imitieren. Die Forscher warnten, dass Angreifer zunehmend legitime Domains und vertrauenswürdige Hosting-Plattformen statt klassischer Phishing-Seiten nutzen.
Sicherheitsexperten rieten Nutzern, Installationsanleitungen sorgfältig zu überprüfen, bevor sie Terminal-Befehle ausführen oder Entwicklerwerkzeuge herunterladen.
Die Forscher warnten Nutzer außerdem davor, Befehle in das Terminal einzufügen, ohne vollständig zu verstehen, was die Befehle tun.
Unternehmen wurden gleichzeitig dazu aufgefordert, Endpoint-Überwachung zu verstärken und Mitarbeiter über KI-bezogene Phishing- und Malwarekampagnen aufzuklären.
Fazit
Die ClaudeAI-Mac-Malwarekampagne zeigt, wie Angreifer vertrauenswürdige KI-Plattformen und Google Ads missbrauchen, um macOS-Systeme zu infizieren. Durch den Einsatz legitimer geteilter Claude-Chats schufen Cyberkriminelle überzeugende Malware-Lieferketten, die sich gegen Entwickler und technische Nutzer richteten.
Die Forscher warnten, dass KI-bezogene Malvertisingkampagnen wahrscheinlich weiter zunehmen werden, da Bedrohungsakteure die wachsende Popularität generativer KI und von Coding-Assistenten ausnutzen.
0 Kommentare zu „ClaudeAI-Mac-Malware wurde über Google Ads verbreitet“