Die Sicherheitsforscher von Kaspersky machen auf eine neue Vertriebsvariante für Malware aufmerksam. Zielgruppe sind dabei offenbar gezielt Mac-Besitzer, denen die Schadsoftware mithilfe einer manipulierten Installationsanleitung für den KI-Browser Atlas von OpenAI untergejubelt werden soll. Während erfahrene Nutzer das Täuschungsmanöver durchschauen dürften, besteht bei weniger versierten Anwendern durchaus die Gefahr, dass sie sich hier täuschen lassen.

Die Kriminellen schalten demnach bezahlte Anzeigen bei Google, die bei Suchanfragen nach „chatgpt atlas“ erscheinen. Darin wird die Möglichkeit zum Download des Browsers unter einer Adresse angezeigt, bei der es sich tatsächlich um einen Link zur offiziellen OpenAI-Domain chatgpt.com handelt.

Freigegebener Chat gibt sich als Anleitung aus

Allerdings landen die Nutzer nicht auf einer Produktseite, sondern der Link führt zu einer öffentlich freigegebenen ChatGPT-Unterhaltung eines anonymen Nutzers. OpenAI bietet die Möglichkeit an, die Chats mit der KI auf einer öffentlichen Webseite zu teilen. Dort lässt sich dann eine Installationsanleitung nachlesen, mit deren Hilfe man sich anstatt des gewünschten Browsers Malware auf den Rechner holt.

Es ist zwar bereits an der mit chatgpt.com/share/ beginnenden Adresse des Chats erkennbar, dass es sich hier um keine offizielle Webseite, sondern einen geteilten Chat handelt. Auch dürften halbwegs erfahrene Mac-Nutzer spätestens bei der ungewöhnlichen Installationsanleitung und der Aufforderung, Warnmeldungen zu bestätigen, stutzig werden. Eine grundsätzliche Gefährdung besteht jedoch zweifellos und unabhängig davon ist es immer wieder erstaunlich, wie schnell und ideenreich sich die Programmierer von Schadsoftware an neue Gegebenheiten anpassen.

Datenklau und Rechnerübernahme

In dem Chat wird dazu aufgefordert, einen Terminal-Befehl zu kopieren und auf dem Mac auszuführen. Ein daraufhin geladenes Skript fordert das Systempasswort an. Bei korrekter Eingabe wird eine Malware installiert, die Zugangsdaten, Browser-Informationen, Dateien oder Daten aus verschiedenen Anwendungen sammelt und an einen Server der Angreifer schickt. Begleitend dazu wird eine weitere Anwendung installiert, die eine Fernsteuerung des betroffenen Rechners ermöglichen soll.