Künstliche Intelligenz (KI)
Missbrauch von claude.ai für „ClickFix“-Malvertising
Cyberkriminelle nutzen Google-Ads für bezahlte Suchanfragen nach beliebten KI-Entwicklertools, um Opfer auf bösartige Download-Seiten zu leiten. Die eigene Plattform von claude.ai wird so zum Verbreitungsmechanismus für Malware zum Credential-Diebstahl.
Save to Folio
Wichtigste Erkenntnisse:
- TrendAI™ Research verfolgte eine Kampagne, die über sechs verschiedene Angriffswellen hinweg in nur sieben Wochen lief, wobei die Betreiber die Infrastruktur kontinuierlich wechselten und neue Köder mit KI-Markennamen testeten, um die Leistung der Kampagne zu optimieren.
- Die Kampagne vollzog einen bedeutenden taktischen Sprung, indem sie die geteilte Chat-Funktion von claude.ai als Angriffsinstrument nutzte, um die Opfer auf eine völlig legitime, vertrauenswürdige Domain umzuleiten.
- Nach Benachrichtigung durch TrendAI™ Research untersuchte Anthropic den Vorfall, sperrte die verantwortlichen Konten, deaktivierte die bösartigen geteilten Unterhaltungen und führt derzeit zusätzliche Maßnahmen zur Missbrauchsbekämpfung für seine gemeinsame Chat-Funktion ein.
TrendAI™ Research beobachtete eine anhaltende Malvertising-Kampagne, die über „ClickFix“ Social-Engineering-Angriffe lief. Die Cyberkriminellen schalteten Google-Anzeigen für Suchanfragen nach beliebte KI-Entwicklertools. Mindestens sechs legitime Markennamen wurden dabei missbraucht, darunter ChatGPT Codex, Perplexity, Cursor IDE, JetBrains, Claude AI und claude.ai, und gleichzeitig setzten sie Scam Mac-Dienstprogramme als Köder ein.
Durch den Einsatz von KI-Entwicklungstools als Köder, konnten die Angreifer technisch versierte Nutzer ins Visier nehmen, die eher dazu neigen, Befehle in der Befehlszeile ohne Misstrauen auszuführen. Dies stellt eine ausgeklügelte Weiterentwicklung der „ClickFix“-Social-Engineering-Technik dar, wobei Opfer dazu verleitet werden, bösartige Befehle manuell auszuführen – typischerweise durch Kopieren und Einfügen von PowerShell- oder Terminalbefehlen unter dem Vorwand, ein Problem zu „beheben“ oder eine Softwareinstallation abzuschließen.
Die Angreifer nutzten 92 einzigartige bösartige Hostnamen auf GitLab Pages. Die Pages bieten kostenloses Hosting für statische Websites unter der vertrauenswürdigen Domain *.gitlab.io. So werden die Sicherheitsfilter dieser Plattform umgangen, weil sie für sicherheitsbewusste Nutzer legitim erscheint. Die Angreifer erstellten Dutzende von Subdomains, die legitime Software-Download-Seiten imitierten, und wechselten diese sehr häufig, um einer Erkennung und Sperrung zu entgehen.
Später verlagerte sich die Kampagne darauf, die Shared Chat-Funktion von claude.ai zu missbrauchen, um die Social-Engineering-Anweisungen von ClickFix zu hosten. Nach einer Benachrichtigung durch TrendAI™ Research untersuchte Anthropic den Vorfall, sperrte die verantwortlichen Konten, deaktivierte die bösartigen geteilten Konversationen und implementiert derzeit zusätzliche Maßnahmen zur Eindämmung von Missbrauch für seine geteilte Chat-Funktion.
Unsere Analyse umfasste die Kampagnenaktivitäten vom 8. April bis zum 14. Juni 2026. TrendAI™ Research überwacht die Situation weiterhin auf weitere Aktivitäten.
Wie Angreifer KI-Entwicklertools als Köder einsetzten
Der Großteil der Kampagne (82,8 % des Verkehrs) richtete sich an Nutzer, die nach KI-Entwicklertools suchten. Die Nutzung mehrerer KI-Brands in schneller Folge lässt vermuten, dass die Betreiber im gesamten KI-Tool-Ökosystem Keyword-Tests durchführen, um herauszufinden, welche Brands den meisten Verkehr generieren:
Parallel zu den Angriffen mit KI-Bezug wurden über dieselbe Infrastruktur Betrugsseiten für Mac-Dienstprogramme bereitgestellt – eine klassische Kategorie von Malvertising. Hostnamen wie mac-clean-storage, fixmymac und mac-support deuten darauf hin, dass die Angreifer Nutzer ins Visier nehmen, die nach Tools zur Festplattenbereinigung oder Systemwartung suchen. Das gleichzeitige Auftreten beider Themen unter denselben Kampagnen-Identifikatoren deutet stark darauf hin, dass ein einziger Betreiber sein Köderportfolio diversifiziert.
Die Überwachung durch TrendAI™ Research ergab, dass seit dem 8. April wöchentliche Kampagnen durchgeführt wurden, bei denen jeweils neue Seiten, Suchbegriffe und geografische Zielgruppen hinzukamen. Einzelheiten zu den sechs Wellen finden Interessierte im Originalbeitrag.
Die Umstellung der Kampagne auf den Shared Chat von claude.ai am 6. Mai stellt eine bedeutende taktische Neuerung im Bereich Malvertising dar. Die Angreifer nutzten die „Share“-Funktion, um dauerhafte, öffentlich zugängliche URLs auf einer vollständig vertrauenswürdigen Domain zu erstellen.
Die Suche nach einem KI-Assistenten als Köder, baut auf das Vertrauen der mutmaßlichen Opfer in Googles gesponserte Anzeigen und die folgenden Domänen von claude.ai und gitlab.io. Die Anzeige leitet zu einer Claude Shared-Chat URL weiter. Da die Seite auf claude.ai mit einem gültigen Zertifikat gehostet wird, erkennen Sicherheitsfilter wie Browser-Indicators, URL-Prüfungen und sogar heuristische Verfahren im Stil von „Safe Browsing“ keine Unregelmäßigkeiten. Der Chat gibt sich als „Apple Support“ oder „Corda Team“ aus – mit einem professionell gestalteten Seitentitel, einem integrierten Haftungsausschluss und einer Schritt-für-Schritt-Anleitung, wie man das Terminal öffnet und einen Befehl einfügt. Weitere technische Einzelheiten beinhaltet der Originalbeitrag.
Fazit
Diese Kampagne verdeutlicht die kontinuierliche Weiterentwicklung von Malvertising-Taktiken, die speziell darauf zugeschnitten sind, das gestiegene Interesse an KI auszunutzen. Durch die Kombination aus bezahlten Suchanzeigen, dem Missbrauch vertrauenswürdiger Hosting-Infrastruktur und der Nachahmung mehrerer KI-Brands erzielten die Angreifer eine breite globale Reichweite und konnten gleichzeitig den Anschein von Legitimität wahren. Die Verlagerung hin zum Missbrauch der Shared Chat-Funktion von claude.ai markiert einen besorgniserregenden neuen Angriffsvektor, bei dem Angreifer Funktionen von KI-Plattformen als Social-Engineering-Mechanismen instrumentalisieren.
Sicherheitsempfehlungen:
Für Unternehmen
- Schulen Sie Entwickler hinsichtlich „ClickFix“-Angriffen, die speziell auf Installationsabläufe von KI-Tools abzielen.
- Überwachen Sie die Ausführung unerwarteter PowerShell- oder Terminalbefehle im Anschluss an Web-Browsing-Sitzungen.
- Setzen Sie Endpunktüberwachung für die identifizierten Payload-Hashes und die damit verbundenen Verhaltensindikatoren ein.
Für Anwender
-
- Navigieren Sie stets direkt zu den offiziellen Produktwebseiten, anstatt auf Suchanzeigen für Software-Downloads zu klicken.
- Seien Sie misstrauisch gegenüber jedem „Installationsprozess“, bei dem Befehle von einer Webseite kopiert und eingefügt werden müssen, insbesondere wenn die Befehle unlesbare Zeichenfolgen enthalten.
- Überprüfen Sie URLs sorgfältig: Selbst Links von *.gitlab.io und claude.ai können schädliche Inhalte enthalten.
- Verwenden Sie zur Installation von Entwicklertools offizielle Paketmanager (pip, npm, brew, apt), anstatt webbasierten Anleitungen zu folgen.
Für Plattform-Provider
- GitLab: Erwägen Sie eine zusätzliche Überprüfung oder eine Begrenzung der Zugriffsrate für Pages-Websites, die Merkmale von Phishing- oder Social-Engineering-Inhalten aufweisen.
- Anthropic (claude.ai): Implementieren Sie eine Missbrauchserkennung für gemeinsame Unterhaltungen, die Terminalbefehle, Download-Anweisungen oder ClickFix-Muster enthalten, auf die aus bezahlten Anzeigen verlinkt wird.
- Google Ads: Verschärfen Sie die Verifizierungsanforderungen für Anzeigen, die auf *.gitlab.io-Subdomains oder URLs gemeinsamer Unterhaltungen auf KI-Plattformen verweisen.
TrendAI Vision One™ Threat Intelligence Hub bietet die neuesten Erkenntnisse zu aufkommenden Bedrohungen und Akteuren, exklusive strategische Berichte von TrendAI™ Research sowie den TrendAI Vision One™ Threat Intelligence Feed auf der TrendAI Vision One™-Plattform.