Die von Push Security „LLMShare" genannte Kampagne beginnt mit Google-Anzeigen, die nach ChatGPT suchende Nutzer auf eine präparierte, geteilte ChatGPT-Seite leiten. Da diese unter chatgpt.com gehostet ist, erfolgt der Angriff über eine legitime OpenAI-Domain – ein Umstand, der die Täuschung erheblich glaubwürdiger macht.

Statt eines Chatverlaufs erscheint dort eine vorgetäuschte Störungsmeldung. „Wir verzeichnen derzeit hohen Andrang", heißt es darin. „Unsere Website ist wegen einer großen Zahl an Nutzern vorübergehend nicht verfügbar. Laden Sie unsere Desktop-App herunter, um fortzufahren."

Das Besondere: Die Meldung wird nicht auf einer angreifereigenen Infrastruktur gehostet, sondern direkt von ChatGPT gerendert. Die Angreifer erstellten eine eigene HTML-Seite über die Rendering-Funktion von ChatGPT und veröffentlichten sie über einen geteilten Link der Form chatgpt.com/s/. Laut Push Security verraten die Schaltflächen „Show code" und „Remix with ChatGPT", dass die falsche Ausfallmeldung tatsächlich aus benutzerdefiniertem HTML und CSS besteht, das durch einen ChatGPT-Prompt erzeugt wurde.

Wer auf den Download-Button klickt, gelangt zur Adresse openew[.]app, die das Download-Portal der OpenAI-Desktop-Anwendung nachahmt. Die Seite setzt laut den Forschern auf Cloaking und zeigt ihre Inhalte nur ausgewählten Opfern: Als Sicherheitsplattformen wie URLScan die Adresse aufriefen, wurde ihnen stattdessen die harmlose Website eines AR/VR-Unternehmens präsentiert.

Angeboten werden Downloads für macOS und Windows, die Schadsoftware installieren. Welche Schadprogramme am Ende ausgeführt werden, ist unklar; frühere Kampagnen, die Teilen-Funktionen von KI-Plattformen missbrauchten, verbreiteten Infostealer. Ein Test der Windows-Variante durch BleepingComputer in Any.Run zeigte, dass die Datei verschiedene Befehle ausführt, um zu erkennen, ob es sich um einen echten Rechner oder eine virtuelle Maschine handelt.

Push Security beobachtete zudem Angriffe, die Claude Artifacts missbrauchten – die Funktion von Anthropic zum Teilen gerenderter Anwendungen und Inhalte –, um Köder im Stil von ClickFix zu hosten, die Nutzer zur Ausführung schädlicher Befehle verleiteten.

Teilen-Funktionen von KI-Plattformen wurden bereits in der Vergangenheit zur Verbreitung von Malware missbraucht. So lenkten Angreifer Nutzer, die nach Claude-Downloads suchten, über Google-Anzeigen auf geteilte Claude-Unterhaltungen mit schädlichen Installationsanweisungen. Weitere Kampagnen nutzten geteilte ChatGPT- und Grok-Unterhaltungen für ClickFix-Angriffe, indem sie sich als Installationsanleitungen ausgaben und Opfer zur Ausführung von Befehlen brachten, die Malware installierten.