Angreifer missbrauchen die Funktion geteilter Konversationen bei ChatGPT und Claude, um Schadsoftware zu verbreiten. Der Trick ist heikel, weil die Links auf den echten Domains chatgpt.com und claude.ai liegen.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Beide Plattformen erlauben es, Chats per öffentlichem Link zu teilen. Über bezahlte Google-Suchanzeigen landen Nutzer dann in präparierten Chats. Da die Adresse zu einem vertrauenswürdigen Anbieter gehört, schlagen Web-Filter und Firewalls keinen Alarm, und auch Menschen vertrauen dem Inhalt eher. Das Sicherheitsunternehmen Push Security nennt die Technik „LLMShare“.
Das Wichtigste in Kürze
- Angreifer schalten Google-Anzeigen auf Suchbegriffe wie „ChatGPT download“ und leiten auf echte Share-Links.
- Eine Variante baut über die Code-Rendering-Funktion eine komplette gefälschte Fehlerseite direkt im geteilten Chat.
- Bei Claude tarnen sich geteilte Chats als Apple-Support-Anleitungen mit schädlichen Terminal-Befehlen.
- Weil die Ziel-URL echt ist, hilft selbst ein Blick auf die Adresse vor dem Klick nicht weiter.
Wie läuft der Angriff konkret ab?
Wer auf eine der manipulierten Anzeigen klickt, sieht statt einer Unterhaltung eine nachgebaute Störungsmeldung. Diese behauptet, die Web-Version sei wegen hoher Last nicht verfügbar, und drängt zum Download einer Desktop-App. Die heruntergeladene Datei gibt sich als „ChatGPT for Desktop“ aus und wird auf VirusTotal als schädlich erkannt. Eine Besonderheit verschärft die Lage: Echte Besucher im Browser sehen die gefälschte Seite, automatische Scanner dagegen eine harmlose Variante. Diese bedingte Anzeige erschwert Sicherheitsteams die Analyse erheblich.
Die alte Faustregel, vor dem Klick auf die Adresszeile zu schauen, greift hier nicht mehr. Wenn der Angriff auf der echten Domain sitzt, schützt nur noch der Grundsatz, Software ausschließlich über die offizielle Herstellerseite zu beziehen.
— Markus Seyfferth, Chefredakteur Dr. Web
Was sollten Unternehmen jetzt tun?
Mitarbeitende sollten KI-Desktop-Apps nie über Suchanzeigen oder geteilte Chat-Links beziehen, sondern ausschließlich über die offizielle Anbieterseite. Terminal- oder PowerShell-Befehle aus einem geteilten Chat gehören grundsätzlich nicht ausgeführt, egal wie offiziell die Anleitung wirkt. Diese Masche reiht sich in das Muster der ClickFix-Angriffe ein, das wir im Kontext der aktuellen KI-Phishing-Welle bereits eingeordnet haben. Wer die Awareness im Team stärken will, findet konkrete Hebel in unserem Beitrag zu sicherer Unternehmenskommunikation. Die technische Analyse samt Indikatoren stammt von Push Security.
Mehr Newshunger?
