Bei dem Versuch, Albayraks Funde zu verifizieren, stieß BleepingComputer auf einen zweiten geteilten Claude-Chat, der denselben Angriff über vollständig getrennte Infrastruktur durchführte. Beide Chats folgen demselben Aufbau und derselben Social-Engineering-Masche, setzen aber auf unterschiedliche Domains und Payloads. Zum Zeitpunkt der Veröffentlichung waren beide Chats öffentlich zugänglich.
Die in den Chats angezeigten Base64-Anweisungen laden ein kodiertes Shell-Skript von verschiedenen Domains herunter. Das nachgeladene „loader.sh" besteht aus weiteren, Gunzip-komprimierten Shell-Anweisungen, die vollständig im Arbeitsspeicher laufen und kaum sichtbare Spuren auf der Festplatte hinterlassen.
BleepingComputer beobachtete, dass der Server bei jeder Anfrage eine eindeutig verschleierte Variante des Payloads auslieferte – eine als polymorphe Auslieferung bekannte Technik, die es Sicherheitswerkzeugen erschwert, den Download anhand eines bekannten Hashes oder einer Signatur zu erkennen.
Die von BleepingComputer identifizierte Variante prüft zunächst, ob auf dem Rechner russische oder Tastatureingabequellen aus der GUS-Region konfiguriert sind. Trifft das zu, beendet sich das Skript ohne Aktion und sendet zuvor noch einen unauffälligen Statuscode „cis_blocked" an den Server der Angreifer. Nur Rechner, die diese Prüfung bestehen, gelangen zur nächsten Stufe.
Bevor es weitergeht, sammelt das Skript externe IP-Adresse, Hostname, Betriebssystemversion und Tastaturgebietsschema des Opfers und sendet diese Daten an die Angreifer. Diese Profilbildung vor der eigentlichen Auslieferung deutet darauf hin, dass die Betreiber gezielt auswählen, wen sie angreifen. Anschließend lädt das Skript einen Payload der zweiten Stufe nach und führt ihn über osascript aus, die in macOS integrierte Skript-Engine. So erlangen die Angreifer Remote-Code-Ausführung, ohne je eine klassische Anwendung oder Binärdatei abzulegen.
Die von Albayrak identifizierte Variante überspringt die Profilbildung offenbar und geht direkt zur Ausführung über. Sie greift Browser-Zugangsdaten, Cookies und Inhalte des macOS-Keychain ab, bündelt sie und schleust sie an den Server der Angreifer aus. Albayrak ordnete dies als Variante des macOS-Infostealers MacSync ein. Die dabei genutzte Domain briskinternet[.]com war zum Zeitpunkt der Veröffentlichung offenbar nicht erreichbar.
Malvertising hat sich zu einem wiederkehrenden Verbreitungsweg für Malware entwickelt. BleepingComputer berichtete bereits über ähnliche Kampagnen gegen Nutzer, die nach Software wie GIMP suchten und über überzeugend wirkende Google-Anzeigen auf Nachahmer-Phishingseiten gelockt wurden. Diese Kampagne dreht das Prinzip um: Es gibt keine gefälschte Domain zu erkennen, da die Ziel-URL in der Anzeige echt ist.
Es ist nicht das erste Mal, dass Angreifer geteilte Chats von KI-Plattformen auf diese Weise missbrauchen. Im Dezember berichtete BleepingComputer über eine vergleichbare Kampagne gegen Nutzer von ChatGPT und Grok.
Nutzer sollten die native Claude-App direkt über claude.ai herunterladen, statt gesponserte Suchergebnisse anzuklicken. Das legitime Claude Code CLI ist über Anthropics offizielle Dokumentation verfügbar und erfordert nicht, Befehle aus einer Chat-Oberfläche einzufügen. BleepingComputer bat Anthropic und Google vor der Veröffentlichung um eine Stellungnahme.