KI, Betrug, Bedrohungsinformationen

Gefälschte ChatGPT-Download-Seite infiziert Windows Mac mit Malware

von Stefan Dasic | 28. Mai 2026
Bedrohungsinformationen: Verborgene Bedrohungen

Eine überzeugend gefälschte Website gibt sich als die ChatGPT-Downloadseite von OpenAI aus und infiziert Besucher mit Malware, die darauf ausgelegt ist, Passwörter, Browserdaten, Kryptowährungs-Wallets und andere sensible Informationen zu stehlen.

Die Website, openew[.]app, ahmt das echte ChatGPT-Download-Erlebnis von OpenAI sehr genau nach und bietet scheinbar offizielle Desktop-Apps für Windows macOS an. Stattdessen erhalten Windows einen Malware-Loader, der Zugangsdaten stiehlt, während Mac „Atomic Stealer“ (AMOS) erhalten, eine bekannte MacOS-Malware-Familie, die mit dem Diebstahl von Kryptowährungen in Verbindung gebracht wird.

Linkes BildRechtes Bild

Das Besondere an dieser Aktion ist der Einsatz zweier Plattformen. Ein Klick Windows führt zu einem gefälschten Installationsprogramm, das eine Hintertür zu einem vom Angreifer kontrollierten Server öffnet. Ein Klick auf die macOS-Schaltfläche führt zur Installation von Malware, die Browser-Passwörter, Cookies, Telegram-Sitzungen, Kryptowährungs-Wallets und andere sensible Dateien stiehlt. Außerdem versucht sie, die legitimen Wallet-Apps von Ledger und Trezor durch mit Trojanern versehene Versionen zu ersetzen.

Wenn Sie ChatGPT ausschließlich von der offiziellen Download-Seite von OpenAI oder aus dem Microsoft Store heruntergeladen haben, waren Sie hier nicht das Ziel. Wenn Sie jedoch nach „ChatGPT Download“ gesucht und auf eine Anzeige oder ein unbekanntes Suchergebnis geklickt haben, haben Sie Angreifern möglicherweise Zugriff auf Ihre Online-Konten, Browsersitzungen, gespeicherten Passwörter und möglicherweise auch auf Ihre Kryptowährungsguthaben gewährt.

Technische Analyse

Die Domain, openew[.]app, ähnelt stark dem tatsächlichen ChatGPT-Download-Erlebnis von OpenAI. Es verwendet ein dunkles Design, ein Branding im OpenAI-Stil, bekannte Werbetexte und gut sichtbare Download-Schaltflächen für macOS und Windows.

Die Top-Level-Domain „.app“ wird von Google betrieben und erfordert HTTPS-Verbindungen, was bedeutet, dass Browser das bekannte Vorhängeschloss-Symbol anzeigen, ohne dass offensichtliche Zertifikatswarnungen erscheinen.

Das wichtigste Detail ist die Unterstützung beider Plattformen. Seriöse Softwareanbieter stellen separate Installationsprogramme für Windows macOS bereit, und diese gefälschte Website macht genau dasselbe.

Ein Klick auf die Windows führt dazu, dass Chat_GPT.exe, während durch Klicken auf die Schaltfläche „macOS“ ein Disk-Image heruntergeladen wird, das ChatGpt.dmg.

Die Windows

Chat_GPT.exe besteht fast ausschließlich aus handelsüblichen Bauteilen. Das Installationsprogramm verwendet Inno Setup, ein kostenloses Open-Source-Toolkit, das von Tausenden von legitimen Windows verwendet wird. Darin befindet sich ein Electron Ein Anwendungsgerüst – dasselbe Chromium-basierte Framework, das auch von Apps wie Slack und Discord verwendet wird – gebündelt mit den Standard-Unterstützungsbibliotheken, die im Rahmen des Electron-Projekts öffentlich verfügbar sind.

Wenn das Opfer das Installationsprogramm ausführt, werden Dateien unter %APPDATA%\LeronApplication, startet EApp.exeund startet PowerShell mit den folgenden Optionen -ExecutionPolicy Unrestricted -Command -. Der abschließende Bindestrich weist PowerShell an, Befehle von der Standardeingabe zu lesen, was bedeutet, dass die schädlichen Anweisungen niemals auf die Festplatte gelangen, wo Scanner sie entdecken könnten. Die Verhaltens-Telemetrie zeichnete den HTTP-Datenverkehr zu 188.137.246.189 unter Verwendung eines /laravel.php?api=api&hash=...&message=... Endpunkt, zusammen mit Anzeichen für Injektionsaktivitäten und Persistenzmechanismen im Zusammenhang mit Diensten und der Autostart-Funktion. Neun von 69 Antiviren-Engines stuften die Datei zum Zeitpunkt der Analyse als bösartig ein. Die Anzeichen für Persistenz lassen sich eher als Verhaltensmuster interpretieren denn als Beweis für eine dauerhafte Installation, doch das Gesamtmuster entspricht dem bekannten Schema von Datendiebstahl- und Dropper-Programmen: billig, modular und effektiv, aber technisch nicht neuartig.

Nach dem Start der gefälschten App wird ein CAPTCHA angezeigt, um zu bestätigen, dass ein echter Nutzer die App ausführt.
Nach dem Start der gefälschten App wird ein CAPTCHA angezeigt, um zu bestätigen, dass ein echter Nutzer die App ausführt.

Die macOS-Malware: Atomic Stealer (AMOS)

Die macOS-Payload gehört zum Premium-Segment des Marktes für Standard-Malware. Es handelt sich um „Atomic Stealer“, auch bekannt als AMOS, eine „Malware-as-a-Service“-Plattform, über die bereits seit 2023 berichtet wird, unter anderem in unserer Berichterstattung aus dem Jahr 2024 über eine aktualisierte Version.

Die Identifizierung ist ziemlich eindeutig. Das in der Sandbox ausgeführte Beispiel entspricht bekannten AMOS-Verhaltensmustern: eine lange AppleScript-Kette, die an die macOS-Skript-Engine übergeben wird, ein im Hintergrund ablaufender Versuch zur Passwortüberprüfung mithilfe von macOS-Verzeichnisdienstbefehlen und – falls diese Überprüfung fehlschlägt – eine gefälschte Eingabeaufforderung im macOS-Stil mit dem Text „Bitte geben Sie das Gerätepasswort ein, um fortzufahren“, komplett mit dem bekannten Schloss-Symbol. Was auch immer der Benutzer eingibt, wird anhand desselben Befehls überprüft. Bei Übereinstimmung erfasst die Malware das Anmeldekennwort des Benutzers im Klartext.

Von dort aus folgt es einem bekannten AMOS-Szenario. Es kopiert den macOS-Schlüsselbund, sammelt Cookies und gespeicherte Anmeldedaten aus 12 Chromium-basierten Browsern sowie aus Firefox und Waterfox und extrahiert Telegram-Sitzungsdaten. Außerdem durchsucht es 16 Verzeichnisse von Kryptowährungs-Wallets, darunter Ledger Live, Trezor Suite, Exodus, Electrum und Sparrow. Schließlich durchsucht es die Ordner „Desktop“ und „Dokumente“ nach Dateien mit Endungen wie .wallet, .seed, .keyund .kdbx. Die gesammelten Daten werden in ein temporäres Archiv komprimiert und an einen fest programmierten Server gesendet.

Die Funktion zum Ersetzen der Wallet ist besonders gefährlich

Es gibt noch einen weiteren Teil der macOS-Payload, und dies ist wahrscheinlich die Funktion, die den Preis rechtfertigt. Nach dem anfänglichen Datendiebstahl lädt das Skript trojanisierte Versionen von Ledger Live, Ledger Wallet und Trezor Suite von einem zweiten Server herunter. Anschließend versucht es, die legitimen Wallet-Apps zu löschen und durch die Versionen des Angreifers zu ersetzen.

Falls das Passwort des Benutzers bereits zu einem früheren Zeitpunkt in der Angriffskette abgefangen wurde, verwendet das Skript sudo um den Austausch zu erzwingen. Andernfalls wird auf einen Standardwert zurückgegriffen rm -rf Löschversuch, der dennoch erfolgreich sein kann, wenn die Apps an einem Ort installiert sind, auf den der Benutzer Schreibzugriff hat. In jedem Fall kann es sein, dass das Opfer, wenn es das nächste Mal die vermeintliche Wallet-Software öffnet, tatsächlich die vom Angreifer bereitgestellte Ersatzversion startet.

Dieses Verhalten wurde bereits in früheren öffentlichen AMOS-Analysen dokumentiert und macht die Absicht der Betreiber ziemlich deutlich. AMOS wird stark mit Kryptowährungsdiebstahl in Verbindung gebracht, und der macOS-Teil dieser Kampagne scheint genau darauf ausgerichtet zu sein.

Was der Bau gekostet hat

Hier wird der KI-Aspekt interessant, denn die Windows die macOS-Version des Programms liegen in ganz unterschiedlichen Preisklassen.

Die Domain openew.app die Betreiber über einen normalen Registrar wahrscheinlich etwa 15 Dollar pro Jahr kosten. Die .app Die Domain erfordert standardmäßig HTTPS, was es Betreibern leicht macht, das beruhigende Browser-Schloss anzuzeigen, das Nutzer mit seriösen Websites assoziieren. Die Landingpage selbst ist lediglich eine Kopie der echten Download-Seite von OpenAI – etwas, das moderne Klon-Tools innerhalb weniger Minuten nachbilden können.

Auf der Windows sind die meisten Tools günstig oder kostenlos. Inno Setup ist kostenlos. Electron ist kostenlos. Die Chromium-Supportdateien stehen öffentlich zum Download bereit. Die Serverinfrastruktur scheint auf kostengünstigen Standard-Malware-Tools und einem einfachen VPS zu basieren, der nur wenige Dollar im Monat kosten dürfte. Insgesamt dürfte die Einrichtung des Windows dieser Operation anfangs plausiblerweise weniger als 100 Dollar gekostet haben.

Auf der macOS-Seite sieht die Lage ganz anders aus. AMOS soll für rund 3.000 US-Dollar pro Monat gemietet werden, wobei die Zahlung in Kryptowährung erfolgt. Im Vergleich dazu hat Lumma – ein beliebter Windows , der oft als ähnliches Produkt angesehen wird – in der Vergangenheit Einstiegspakete für etwa 250 US-Dollar pro Monat angeboten.

Diese Preisdifferenz spricht Bände. Die Betreiber sind offensichtlich der Ansicht, dass eine erfolgreiche Mac viel mehr Geld einbringt als eine typische Windows .

Der wahrscheinliche Grund ist einfach: AMOS wurde speziell für den Diebstahl von Kryptowährungen entwickelt, einschließlich des in dieser Kampagne beobachteten Verhaltens, bei dem die Wallet ausgetauscht wird. Die Betreiber setzen darauf, dass eine beträchtliche Anzahl von Mac Kryptowährungen besitzt.

Die Opfer auf die Website zu locken, ist wahrscheinlich der einzige nennenswerte laufende Kostenfaktor, und genau hier kommt das KI-Branding ins Spiel. Suchanzeigen, SEO-Poisoning, YouTube und Links, die in KI-orientierten Discord- und Telegram-Communities geteilt werden, können den Traffic auf gefälschte Download-Seiten lenken. Einige dieser Kanäle sind kostenpflichtig, andere hingegen fast kostenlos.

Warum Angreifer es auf KI-Marken abgesehen haben

Bei den meisten etablierten Programmen haben sich bereits bewährte Download-Gewohnheiten etabliert. Wenn du Chrome haben möchtest, weißt du wahrscheinlich, dass du bei Google fündig wirst. Wenn du Photoshop haben möchtest, gehst du zu Adobe. Die Leute wissen bereits, wo sie die Originalversion herunterladen können.

KI-Tools unterscheiden sich insofern, als die meisten Nutzer sie noch zum ersten Mal installieren und sich daher auf Suchergebnisse, Anzeigen, YouTube oder Beiträge in sozialen Medien verlassen, um die Download-Seite zu finden. Das schafft ein ideales Umfeld für gefälschte Websites.

In den letzten zwei Jahren sind Produkte wie ChatGPT, Claude, Gemini, Sora, DeepSeek, Antigravity und viele andere auf den Markt gekommen oder haben sich rasant weiterentwickelt. Jede neue Version löst eine neue Welle von Nutzern aus, die nach „ChatGPT herunterladen“ oder „Claude installieren“ suchen, ohne die offizielle URL zu kennen. Genau diesen Suchverkehr nutzen Angreifer aus.

Die gefälschten Seiten müssen zudem nicht besonders ausgefeilt sein, da echte Produktseiten für KI-Produkte von vornherein sehr schlicht gestaltet sind: ein modernes Layout, ein Logo und ein großer Download-Button. Openew[.]app entspricht genau den Erwartungen der Nutzer. Hier gibt es kein holpriges Englisch und keine aufdringlichen Pop-ups, sondern lediglich ein einheitliches Branding, einheitliche Texte und das beruhigende Browser-Schloss-Symbol.

Was diese Art von Betrug so nachhaltig macht, ist die Leichtigkeit, mit der die Betreiber die Marken wechseln können. Wenn der ChatGPT-Köder keine Klicks mehr generiert, können die Betreiber dieselbe Infrastruktur für das nächste angesagte KI-Produkt wiederverwenden. Die Malware hinter dem Download-Button bleibt unverändert. Nur das Branding ändert sich.

Was KI-Anbieter tun könnten

Die meisten großen KI-Anbieter, darunter auch OpenAI, bieten bereits offizielle Download-Kanäle an. Das Problem liegt in der Sichtbarkeit und den Gewohnheiten der Nutzer. Viele Nutzer suchen nach wie vor nach „ChatGPT Download“, wobei die Ergebnisse sowohl offizielle Links als auch inoffizielle Spiegelseiten und sogar regelrecht bösartige Websites enthalten können.

Große Konsumgütermarken und Banken führen häufig aggressive Kampagnen zum Markenschutz gegen gefälschte Anzeigen und Domains durch, die sich als andere Marken ausgeben. Anbieter von KI-Lösungen sollten dies möglicherweise konsequenter tun.

Ein weiteres Problem ist die Auffindbarkeit. Offizielle Links zu Desktop-Apps sind oft in Einstellungsmenüs oder Seitenleisten versteckt, während Suchmaschinen schneller und offensichtlicher sind. Genau dort lauern die gefälschten Download-Seiten.

Was tun, wenn Sie möglicherweise die gefälschte App installiert haben?

Falls Sie kürzlich eine Anwendung installiert haben, die vorgibt, ChatGPT zu sein, und die Sie nicht von der offiziellen Download-Seite von OpenAI oder aus dem Microsoft Store bezogen haben, sind Sie möglicherweise betroffen. Von einem anderen, nicht infizierten Gerät aus:

  • Melden Sie sich von Ihren wichtigen Konten ab, indem Sie die Option „Überall abmelden“ des jeweiligen Dienstes nutzen. Dazu gehören E-Mail, Online-Banking, Cloud-Speicher, GitHub, Discord, Telegram und Kryptowährungsbörsen.
  • Ändern Sie zunächst die Passwörter für Ihr primäres E-Mail-Konto.
  • Erneuern Sie alle auf dem betroffenen Rechner gespeicherten API-Schlüssel, SSH-Schlüssel und Cloud-Anmeldedaten.
  • Wenn Sie Kryptowährungen besitzen, sollten Sie Ihre Gelder unverzüglich über ein separates, nicht infiziertes Gerät transferieren. Insbesondere unter macOS sollten Sie Ledger Live oder Trezor Suite auf dem betroffenen Rechner vor der Neuinstallation des Betriebssystems nicht öffnen, da die Funktion zum Ersetzen der Wallet möglicherweise erfolgreich ausgeführt wurde.
  • Überwachen Sie Bankkonten und Zahlungskarten auf verdächtige Aktivitäten.
  • Installieren Sie das Betriebssystem neu. Das Windows zeigte ein Command-and-Control-Verhalten über PowerShell, während die macOS-Payload möglicherweise das Anmeldekennwort des Benutzers abgefangen hat. Eine saubere Neuinstallation ist der sicherste Weg zur Wiederherstellung.
  • Sollte es sich um ein Arbeitsgerät handeln, wenden Sie sich bitte umgehend an Ihre IT- oder Sicherheitsabteilung.

Abschließende Gedanken

Der Grund, warum diese Kampagne erwähnenswert ist, liegt nicht in der Malware selbst. Beide Payloads sind bereits gut dokumentiert. Windows handelt es sich um ein Standard-Kit, das aus billigen, weit verbreiteten Komponenten zusammengestellt wurde. Auf der macOS-Seite ist es AMOS, eine Malware-Familie, die seit 2023 verfolgt wird.

Noch interessanter ist die Art und Weise, wie diese Malware eingesetzt wird. Eine einzige gefälschte Website liefert zwei verschiedene Schadcode-Pakete aus, die auf zwei unterschiedliche Zielgruppen abzielen. Windows werden durch den Diebstahl von Anmeldedaten und Cookies für eine breit angelegte Monetarisierung ins Visier genommen. Mac werden gezielter und lukrativer durch den Diebstahl von Kryptowährungen angegriffen, wobei die Betreiber offenbar bereit sind, monatlich Tausende für die entsprechenden Tools auszugeben, da sich dies aufgrund der Erträge lohnt.

Das Bindeglied zwischen beiden Seiten ist die Marke AI selbst. Derzeit generieren die Produktnamen von AI enorme Zugriffszahlen bei Erstdownloads von Nutzern, die die offiziellen URLs noch nicht kennen.

So sieht ein ausgereiftes Verteilungsgeschäft aus. Das Interessante daran ist nicht die Binärdatei selbst, sondern die sie umgebende Lieferkette: die Domain, das Zertifikat, die Klonseite, die Traffic-Quelle, das Malware-Abonnement und die Infrastruktur zur Datenexfiltration. Jedes dieser Elemente ist kostengünstig, modular, austauschbar und serienmäßig erhältlich.

Und die Betreiber entscheiden sich nicht zwischen Windows macOS. Sie bedienen beide Plattformen über dieselbe Seite, wobei die Inhalte auf die jeweiligen wirtschaftlichen Gegebenheiten der Plattformen abgestimmt sind. Wenn eine KI-Marke keine Konversionen mehr erzielt, können sie einfach das Branding austauschen und dieselbe Infrastruktur für das nächste Trendprodukt wiederverwenden.

Der Hype um KI wird irgendwann abflauen. Das Kit wahrscheinlich nicht.

Indikatoren für Kompromisse (IOCs)

Datei-Hashes (SHA-256)

  • c9e0e6985dca3a179c9bdea4e7b38f7dc57fe00ecedc2fd634256fc53bf2de2d (Chat_GPT.exe)
  • c0919e1999eaee67e67aeda0287722775afb04e9a9a0f727928b4d11265fb70b (ChatGpt.dmg)

Netzwerkindikatoren

  • openew[.]app
  • 188[.]137[.]246[.]189
  • 192[.]253[.]248[.]181
  • 172[.]94[.]9[.]250
CNET-Auszeichnung „Editors' Choice“ 2026

„Eine der besten Cybersicherheits-Suiten weltweit.“ 

Laut CNET.Lesen Sie den Testbericht

Über den Autor

Stefan Dasic

Stefan Dasic

Stefan ist ein leidenschaftlicher Anhänger von Antiviren-Lösungen und hat sich schon früh mit Malware-Tests und der Qualitätssicherung von AV-Produkten beschäftigt. Als Teil des Malwarebytes widmet sich Stefan dem Schutz der Kunden und der Gewährleistung ihrer Sicherheit.

NEUESTE ARTIKEL

Datenschutzverletzungen
Frau und Kreuzfahrtschiff

Carnival bestätigt Datenpanne, von der fast 6 Millionen Menschen betroffen sind

Mai 28, 2026

Der Kreuzfahrtriese Carnival ist erneut Opfer eines Datenlecks geworden; die Hackergruppe ShinyHunters behauptet, personenbezogene Daten von fast 6 Millionen Menschen gestohlen zu haben.

AI
Bedrohungsinformationen: Verborgene Bedrohungen

Gefälschte ChatGPT-Download-Seite infiziert Windows Mac mit Malware

Mai 28, 2026

Auf der Suche nach ChatGPT? Diese gefälschte Download-Seite verbreitet Malware sowohl an Windows an Mac , wobei für jede Plattform eigene, maßgeschneiderte Schadprogramme zum Einsatz kommen.

Nachrichten
Phishing in großem Stil

Das Phishing-Kit „Kali365“ umgeht die MFA und stiehlt Microsoft-Anmeldedaten

Mai 27, 2026

Das FBI hat davor gewarnt, dass Angreifer ein neues Phishing-Kit einsetzen, um sich langfristigen Zugriff auf Microsoft Outlook-, Teams und OneDrive-Konten zu verschaffen.

Verwandte Artikel

Symbol für Mitwirkende

Mitwirkende

Symbol für das Bedrohungszentrum

Bedrohungszentrum

Podcasts-Symbol

Podcast

Glossar-Symbol

Glossar

Symbol für Betrug

Betrug