Nutzer, die nach "Claude mac download" suchen, können gesponserte Suchergebnisse sehen, die scheinbar auf *claude.ai* verlinken, aber stattdessen zu Anweisungen führen, die Malware auf ihren Macs installieren.  ## Geteilte Claude Chats als Waffe gegen macOS-Nutzer Die Kampagne wurde von **Berk Albayrak**, einem Security Engineer bei der Trendyol Group, entdeckt, der seine Erkenntnisse auf LinkedIn teilte.  Albayrak identifizierte einen Claude.ai Shared Chat, der sich als offizielle "Claude Code on Mac" Installationsanleitung ausgibt und "Apple Support" zugeschrieben wird. Der Chat führt Nutzer durch das Öffnen des Terminals und das Einfügen eines Befehls, der im Hintergrund Malware auf ihren Mac herunterlädt und ausführt. Bei dem Versuch, Albayraks Erkenntnisse zu verifizieren, entdeckte BleepingComputer einen **zweiten** Claude Chat, der denselben Angriff über eine völlig separate Infrastruktur durchführt. Die beiden Chats folgen einer identischen Struktur und Social-Engineering-Methode, verwenden aber unterschiedliche Domains und Payloads. Beide Chats waren zum Zeitpunkt der Veröffentlichung öffentlich zugänglich:  ## Was macht die macOS-Malware? Die Base64-kodierten Anweisungen im geteilten Claude Chat laden ein verschlüsseltes Shell-Skript von Domains wie diesen herunter: * In der von Albayrak gesehenen Variante [[VirusTotal](https://www.virustotal.com/gui/file/ed5ed79a674972d1506dd8d68e8e13658125267ade86bfcb1ab794e2b49e50ac/detection)]: hxxp://customroofingcontractors[.]com/curl/b42a0ed9d1ecb72e42d6034502c304845d98805481d99cea4e259359f9ab206e * In der von BleepingComputer gesehenen Variante [[VirusTotal](https://www.virustotal.com/gui/file/a833ad989b68dad582a1b591b8cf63466e79c850ff72916cf5d4c4a7f6bc650e?nocache=1)]: hxxps://bernasibutuwqu2[.]com/debug/**loader.sh**?build=a39427f9d5bfda11277f1a58c89b7c2d Das 'loader.sh' (serviert durch den zweiten Link oben) ist ein weiteres Set von Gunzip-komprimierten Shell-Anweisungen:  Dieses komprimierte Shell-Skript läuft vollständig im Speicher und hinterlässt kaum Spuren auf der Festplatte. Die von BleepingComputer identifizierte Variante prüft zunächst, ob auf dem Rechner russische oder CIS-Region-Tastaturlayouts konfiguriert sind. Wenn dies der Fall ist, beendet sich das Skript, ohne etwas zu tun, und sendet dabei einen stillen *cis_blocked*-Status-Ping an den Server des Angreifers. Nur Rechner, die diese Prüfung bestehen, erhalten die nächste Stufe:  Bevor weitere Schritte unternommen werden, sammelt das Skript auch die externe IP-Adresse des Opfers, den Hostnamen, die OS-Version und das Tastaturlayout und sendet alles an den Angreifer zurück. Diese Art von Opferprofiling vor der Payload-Auslieferung deutet darauf hin, dass die Betreiber selektiv vorgehen, wen sie ins Visier nehmen. Anschließend lädt das Skript eine Payload der zweiten Stufe herunter und führt sie über *osascript*, die integrierte Skript-Engine von macOS, aus. Dies ermöglicht dem Angreifer die Ausführung von Remote-Code, ohne jemals eine herkömmliche Anwendung oder Binärdatei abzulegen. Die von Albayrak identifizierte Variante überspringt jedoch die Profiling-Schritte. Sie geht direkt zur Ausführung über. Sie sammelt Browser-Anmeldedaten, Cookies und Inhalte des macOS Keychain, verpackt sie und exfiltriert sie zum Server des Angreifers. Forscher haben dies als Variante des **MacSync** macOS Infostealers identifiziert:  *Die oben in der von Albayrak identifizierten Variante gezeigte Domain briskinternet[.]com schien zum Zeitpunkt der Veröffentlichung nicht erreichbar zu sein.* ## Wenn die legitime URL die Bedrohung ist Malvertising ist zu einem wiederkehrenden Auslieferungsmechanismus für Malware geworden. BleepingComputer hat bereits zuvor über ähnliche Kampagnen berichtet, die Nutzer ins Visier nahmen, die nach Software wie **GIMP** suchten, bei denen eine überzeugende Google-Anzeige eine legitime Domain auflistete, aber Besucher auf eine gefälschte Phishing-Seite leitete. Diese Kampagne kehrt das Prinzip um, da es keine gefälschte Domain gibt, die man erkennen könnte. Beide hier gesehenen Google-Anzeigen verweisen auf die echte Domain von **Anthropic**, *claude.ai*, da die Angreifer ihre bösartigen Anweisungen innerhalb der eigenen Shared-Chat-Funktion von Claude hosten. Die Ziel-URL in der Anzeige ist echt. Es ist jedoch nicht das erste Mal, dass Angreifer KI-Plattform-Shared-Chats auf diese Weise missbrauchen. Im Dezember berichtete BleepingComputer über eine ähnliche Kampagne, die **ChatGPT**- und Grok-Nutzer ins Visier nahm. Nutzer sollten direkt zu claude.ai navigieren, um die native Claude-App herunterzuladen, anstatt gesponserte Suchergebnisse anzuklicken. Der legitime Claude Code CLI ist über die offizielle Dokumentation von Anthropic verfügbar und erfordert kein Einfügen von Befehlen aus einer Chat-Oberfläche. Es ist generell ratsam, alle Anweisungen, die Sie auffordern, Terminal-Befehle einzufügen, mit Vorsicht zu behandeln, unabhängig davon, woher diese Anweisungen zu stammen scheinen. BleepingComputer hat sich vor der Veröffentlichung an Anthropic und Google gewandt, um einen Kommentar zu erhalten. ## 99% dessen, was Mythos gefunden hat, ist immer noch ungepatcht. AI hat vier 0-Days zu einem Exploit verkettet, der sowohl Renderer- als auch OS-Sandboxes umgangen hat. Eine Welle neuer Exploits steht bevor. Auf dem Autonomous Validation Summit (12. und 14. Mai) erfahren Sie, wie autonome, kontextreiche Validierung herausfindet, was ausnutzbar ist, beweist, dass Kontrollen greifen, und den Behebungszyklus schließt. Sichern Sie sich Ihren Platz