Nachrichten, Betrugsfälle

Gefälschte Suchergebnisse zu „Claude“ locken Mac in eine ClickFix-Attacke

von Pieter Arntz | 12. Mai 2026
Claude-Logo

Forscher haben herausgefunden, dass Cyberkriminelle gesponserte Suchergebnisse und geteilte Claude-Chats nutzen, um Opfer in eine typische ClickFix-Attacke zu locken und so Malware auf macOS-Geräten zu installieren.

ClickFix ist eine Social-Engineering-Methode, bei der Nutzer dazu verleitet werden, ihr eigenes Gerät mit Malware zu infizieren. Die Nutzer werden angewiesen, bestimmte Befehle auszuführen, die Malware herunterladen, in der Regel einen Infostealer.

Die Forscher stellten fest, dass Nutzern bei der Suche nach Begriffen wie „Claude Mac “ möglicherweise gesponserte Google-Ergebnisse angezeigt werden, die scheinbar auf die legitime Domain claude.ai verweisen.

Tatsächlich verweisen die Anzeigen auf echte, von Claude geteilte Chats, die so gestaltet sind, dass sie wie offizielle Anleitungen zu „Claude Code on Macoder vom Apple Support stammen. Unabhängige Recherchen von BleepingComputer haben einen weiteren Chat aufgedeckt, der demselben Zweck dient. Der Chat weist die Opfer an, das Terminal zu öffnen und einen Base64-kodierten Befehl einzufügen, der ein Loader-Shell-Skript von einer vom Angreifer kontrollierten Infrastruktur abruft und es im Speicher ausführt.

Das Skript erstellt anschließend ein Profil des Systems, lädt eine Payload der zweiten Stufe herunter und führt diese über „osascript“, die in macOS integrierte Skript-Engine, aus. Dadurch erhält der Angreifer die Möglichkeit zur Remote-Code-Ausführung (RCE), ohne jemals eine herkömmliche Anwendung oder Binärdatei auf dem System abzusetzen.

Das Ergebnis ist eine Payload im MacSync-Stil, die Browser-Anmeldedaten, Cookies, den Inhalt des Schlüsselbunds und Daten von Krypto-Wallets sammelt, diese bündelt und alle diese Informationen über HTTP an die Server des Angreifers sendet.

Wie man sicher bleibt

Benutzer, die macOS Tahoe 26.4 oder eine neuere Version verwenden, erhalten Warnungen vor möglichen ClickFix-Angriffen, während andere Benutzer weiterhin auf ihren gesunden Menschenverstand vertrauen müssen.

Da ClickFix immer weiter um sich greift und ständig neue Methoden entwickelt, ist es wichtig, wachsam und vorsichtig zu bleiben und sich zu schützen.

  • Nimm dir Zeit.Befolge Anweisungen auf einer Webseite oder in einer Eingabeaufforderung nichtvorschnell, insbesondere wenn du aufgefordert wirst, Befehle auf deinem Gerät auszuführen oder Code zu kopieren und einzufügen. Angreifer nutzen das Gefühl der Dringlichkeit aus, um dein kritisches Denken zu umgehen. Sei daher vorsichtig bei Seiten, die dich zu sofortigem Handeln drängen. Raffinierte ClickFix-Seiten verwenden Countdowns, Besucherzähler oder andere Druckmittel, um dich zu schnellem Handeln zu bewegen.
  • Führen Sie keine Befehle oder Skripte aus nicht vertrauenswürdigen Quellen aus.Führen Sie niemalsCode oder Befehle aus, die Sie von Websites, E-Mails oder Nachrichten kopiert haben, es sei denn, Sie vertrauen der Quelle und wissen genau, was die Aktion bewirkt.
  • Überprüfen Sie Anweisungen selbstständig. WennSie auf einer Website aufgefordert werden, einen Befehl auszuführen oder eine technische Maßnahme zu ergreifen, sollten Sie dies anhand der offiziellen Dokumentation überprüfen oder den Support kontaktieren, bevor Sie fortfahren.
  • Schränken Sie das Kopieren und Einfügen von Befehlen ein.Das manuelleEingeben von Befehlen anstelle des Kopierens und Einfügens kann das Risiko verringern, versehentlich schädliche Payloads auszuführen, die in kopiertem Text versteckt sind.
  • Sichern Sie Ihre Geräte. Verwenden Sie eine aktuelle Echtzeit- Anti-Malware-Lösung mit Webschutz. Malwarebytes Verbindungen zu unsicheren Websites wie diesen.
    Malwarebytes eine der noch aktiven Domains
  • Informieren Sie sich über neue Angriffstechniken.Das Bewusstsein, dass Angriffe aus unerwarteten Richtungen kommen können, hilft Ihnen, wachsam zu bleiben. Lesen Sie unseren Blog weiter!
  • Halten Sie sich von gesponserten Anzeigen in den Suchergebnissen fern. Jeder kann sie kaufen und so gestalten, dass sie seriös wirken.

Profi-Tipp:Die kostenlose Malwarebytes Browser Guard warnt dich, wenn eine Website versucht, etwas in deine Zwischenablage zu kopieren.

Beugen Sie Bedrohungen vor, bevor sie Schaden anrichten können.

Malwarebytes Browser Guard Phishing-Seiten und bösartige Websites automatisch. Kostenlos und mit nur einem Klick zu installieren. Zu Ihrem Browser hinzufügen →

Über den Autor

Pieter Arntz

Pieter Arntz

Malware-Forscher

War 12 Jahre in Folge Microsoft MVP im Bereich Verbrauchersicherheit. Spricht vier Sprachen. Riecht nach edlem Mahagoni und ledergebundenen Büchern.

NEUESTE ARTIKEL

Nachrichten
Eine Gruppe junger Menschen, die glücklich aussehen

Gestohlene Canvas-Daten wurden nach hacker „zurückgegeben“, so Instructure

Mai 12, 2026

Instructure gibt an, dass die gestohlenen Canvas-Daten, von denen Millionen von Studierenden und Mitarbeitern betroffen waren, „zurückgegeben“ worden seien. So funktionieren Datenschutzverletzungen aber nicht.

Nachrichten
Rasenmäher

Yarbo reagiert auf Roboterfehler, die ihre Besitzer umbringen könnten

Mai 11, 2026

Ein Forscher hat eine Reihe von Sicherheitslücken in den Gartenrobotern von Yarbo entdeckt, durch die WLAN-Passwörter offengelegt, Kameras gekapert und die Roboter auf Befehl dazu gebracht werden könnten, ihre Besitzer zu überfahren.

Nachrichten
Woche der Sicherheit

Eine Woche im Bereich Sicherheit (Mai 4 – Mai 10)

Mai 11, 2026

Eine Liste der Themen, die wir in der Woche vom 4. bis 10. Mai 2026 behandelt haben

Verwandte Artikel

Symbol für Mitwirkende

Mitwirkende

Symbol für das Bedrohungszentrum

Bedrohungszentrum

Podcasts-Symbol

Podcast

Glossar-Symbol

Glossar

Symbol für Betrug

Betrug