{"id":33027,"date":"2025-12-19T18:27:43","date_gmt":"2025-12-19T16:27:43","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=33027"},"modified":"2025-12-19T18:27:43","modified_gmt":"2025-12-19T16:27:43","slug":"share-chatgpt-chat-clickfix-macos-amos-infostealer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/share-chatgpt-chat-clickfix-macos-amos-infostealer\/33027\/","title":{"rendered":"Infostealer ist dem Chat beigetreten"},"content":{"rendered":"

Infostealer stehlen Passw\u00f6rter, Cookies, Dokumente und andere wertvolle Daten von Computern und und haben 2025 eine wahre Bilderbuchkarriere erlebt<\/a>. Das Problem gilt f\u00fcr alle Betriebssysteme und alle Regionen als kritisch. Zur Verbreitung dieser Sch\u00e4dlinge denken sich Kriminelle immer neue Tricks aus. Keine \u00dcberraschung also, dass KI-Tools in diesem Jahr zu einem beliebten K\u00f6der geworden sind. Die Kaspersky-Experten haben eine neue Kampagne entdeckt: Angreifer locken ihre Opfer auf eine Website, die macOS-Nutzern angeblich erkl\u00e4rt, wie der neue OpenAI-Browser Atlas installiert wird. Das Ganze wirkt \u00e4u\u00dferst \u00fcberzeugend, da der hinterlistige Link zur offiziellen ChatGPT-Website f\u00fchrt. Aber wie funktioniert das?<\/p>\n

Der K\u00f6der in den Suchergebnissen<\/h2>\n

Die Angreifer schalten bezahlte Google-Suchanzeigen, um ihre Opfer anzulocken. Bei einer Suche nach \u201echatgpt atlas\u201c k\u00f6nnte der allererste gesponserte Link zu einer Website f\u00fchren, deren vollst\u00e4ndige Adresse zwar nicht in der Anzeige zu sehen ist, die sich aber eindeutig auf der Dom\u00e4ne chatgpt.com<\/em> befindet.<\/p>\n

Die Anzeige enth\u00e4lt auch eine passende Seiten\u00fcberschrift: \u201eChatGPT\u2122 Atlas for macOS\u00a0\u2013 Download ChatGPT Atlas for Mac\u201c. Warum sollte ein Nutzer, der den neuen Browser herunterladen will, nicht auf diesen Link klicken?<\/p>\n

\"Google-Suchergebnissen:<\/a>

Die Google-Suchergebnisse enthalten einen gesponserten Link zu einer Installationsanleitung f\u00fcr ChatGPT Atlas f\u00fcr macOS. Der Link f\u00fchrt auf die offizielle ChatGPT-Website, hat jedoch Malware im Gep\u00e4ck. Was ist da passiert?<\/p><\/div>\n

Die Falle<\/h2>\n

Das Opfer klickt auf die Anzeige, landet tats\u00e4chlich auf chatgpt.com und findet eine kompakte Installationsanleitung f\u00fcr \u201eAtlas Browser\u201c. Ein aufmerksamer Nutzer erkennt sofort: Das ist lediglich der Chat eines anonymen Besuchers mit ChatGPT, den der Autor \u00fcber die Funktion \u201eGemeinsam nutzen\u201c geteilt hat. Links zu geteilten Chats beginnen mit chatgpt.com\/share\/<\/em>. Direkt \u00fcber dem Chat steht klar und deutlich: \u201eDies ist die Kopie eines Gespr\u00e4chs zwischen ChatGPT und einem anonymen Benutzer.\u201c<\/p>\n

Ein unvorsichtiger oder weniger KI-versierter Besucher k\u00f6nnte die Anleitung jedoch f\u00fcr bare M\u00fcnze nehmen. Immerhin ist sie sauber formatiert und wurde auf einer vertrauensw\u00fcrdig wirkenden Website ver\u00f6ffentlicht.<\/p>\n

Es gab bereits Varianten dieser Methode: Angreifer missbrauchten andere Dienste, in deren Dom\u00e4nen Inhalte geteilt werden k\u00f6nnen: b\u00f6sartige Dokumente bei Dropbox, Phishing in Google Docs<\/a>, Malware in unver\u00f6ffentlichten Kommentaren bei GitHub und GitLab<\/a> oder Krypto-Fallen in Google Forms<\/a>, um nur einige Beispiele zu nennen. Inzwischen k\u00f6nnen auch KI-Chats geteilt werden, und der Link f\u00fchrt direkt auf die offizielle Chatbot-Website.<\/p>\n

Die Angreifer verwendeten einen geschickten Prompt und brachten ChatGPT dazu, genau die gew\u00fcnschte Anleitung zu generieren. Dadurch entstand ein Dialog, der keinen Verdacht erregt.<\/p>\n

\"Installationsanweisungen<\/a>

Scheinbar eine Installationsanleitung f\u00fcr Atlas for macOS, in Wirklichkeit jedoch nur ein geteilter Chat zwischen einem anonymen Nutzer und ChatGPT. Die Angreifer brachten den Chatbot durch Prompt-Injektion dazu, einen \u00fcberzeugenden Dialog zu liefern.<\/p><\/div>\n

Die Infektion<\/h2>\n

Zur Installation von Atlas Browser soll der Nutzer eine Codezeile aus dem Chat kopieren, das Terminal auf seinem Mac \u00f6ffnen, den Befehl einf\u00fcgen und ausf\u00fchren sowie alle erforderlichen Berechtigungen gew\u00e4hren.<\/p>\n

Der vorgegebene Befehl l\u00e4dt jedoch ein sch\u00e4dliches Skript von einem verd\u00e4chtigen Server herunter (atlas-extension{.}com<\/em>) und f\u00fchrt es sofort auf dem Computer aus. Dies ist eine Variante des ClickFix-Angriffs<\/a>. Normalerweise schlagen solche \u201eRezepte\u201c vor, einen CAPTCHA zu l\u00f6sen. In unserem Fall sind es dagegen Schritte zur Installation eines Browsers. Das Prinzip bleibt aber gleich: Der Nutzer wird aufgefordert, manuell einen Shell-Befehl auszuf\u00fchren. Dadurch wird Code von einer externen Quelle heruntergeladen und ausgef\u00fchrt. Eigentlich ist es bekannt, dass Dateien, die aus zwielichtigen Quellen stammen, auf keinen Fall gestartet werden d\u00fcrfen. Diese Anleitung sieht aber gar nicht so aus, als w\u00fcrde eine Datei ausgef\u00fchrt.<\/p>\n

Das Skript fragt den Nutzer nach seinem Systempasswort und pr\u00fcft, ob mit der Kombination \u201eaktueller Benutzername + Passwort\u201c Systembefehle ausgef\u00fchrt werden k\u00f6nnen. Wenn die eingegebenen Daten ung\u00fcltig sind, wird die Abfrage unendlich oft wiederholt. Sobald der Nutzer das richtige Passwort eingibt, l\u00e4dt das Skript die Malware herunter und verwendet die bereitgestellten Anmeldedaten, um sie zu installieren und zu starten.<\/p>\n

Der Infostealer und die Backdoor<\/h2>\n

Wenn der Nutzer auf diesen Trick hereinf\u00e4llt, wird auf seinem Computer der g\u00e4ngige Infostealer AMOS<\/a> (Atomic macOS Stealer) gestartet. AMOS kann eine Vielzahl potenziell wertvoller Daten sammeln: Passw\u00f6rter, Cookies und andere Daten aus Profilen in Chrome, Firefox und weiteren Browsern, Daten aus Krypto-Wallets (z.\u00a0B. Electrum, Coinomi und Exodus) sowie Daten aus Programmen wie Telegram Desktop und OpenVPN Connect. Daneben stiehlt AMOS auch Dateien mit den Erweiterungen txt, pdf und docx aus den Ordnern Desktop, Dokumente und Downloads, und nimmt auch gerne Dateien aus dem Medienordner der Notizen-App mit. All diese Daten schickt der Infostealer handlich verpackt an den Server der Angreifer.<\/p>\n

Und dann noch das i-T\u00fcpfelchen: Der Stealer baut eine Hintert\u00fcr ein und konfiguriert diese so, dass sie beim Neustart des Systems automatisch gestartet wird. Die Backdoor entspricht im Wesentlichen der AMOS-Funktionalit\u00e4t, bietet Angreifern jedoch zus\u00e4tzlich die M\u00f6glichkeit, den infizierten Computer fernzusteuern.<\/p>\n

So sch\u00fctzt du deine KI-Chats vor AMOS und anderer Malware<\/h2>\n

Mit einer ganzen Welle neuer KI-Tools k\u00f6nnen Kriminelle alte Tricks neu verpacken und Nutzer angreifen, die sich f\u00fcr gro\u00dfe Sprachmodelle interessieren, sich aber nicht mit dieser neuen Technologie auskennen.<\/p>\n

Wir haben bereits \u00fcber gef\u00e4lschte Chatbot-Seitenseiten f\u00fcr Browser<\/a> und falsche DeepSeek- und Grok-Clients<\/a> gesprochen. Jetzt wird auch das Interesse an dem KI-Browser \u201eOpenAI Atlas\u201c ausgenutzt, um wertvolle Daten zu stehlen. Und leider wird es nicht der letzte Angriff dieser Art sein.<\/p>\n

Wie kannst du deine Daten, deinen Computer und dein Geld sch\u00fctzen?<\/p>\n