Angreifer missbrauchen ChatGPT-Share-Links für Fake-Ausfälle und Malware

Push Security warnt vor einer neuen Malware-Kampagne mit dem Namen LLMShare. Angreifer missbrauchen dabei geteilte Seiten von ChatGPT und Claude, um gefälschte Service-Hinweise auf legitimen Domains anzuzeigen. Nutzer landen über bezahlte Suchanzeigen auf einer chatgpt.com/s/-Seite, sehen dort eine angebliche OpenAI-Störung und erhalten einen Download-Hinweis für die ChatGPT-Desktop-App. Der Fall zeigt ein neues Risiko für Security, weil vertrauenswürdige KI-Domains als Zwischenstation für Malware-Verteilung dienen.

Die Kampagne nutzt keinen klassischen Phishing-Server als erste sichtbare Seite. Stattdessen erscheint die gefälschte Meldung auf einer echten ChatGPT-Share-URL. Das erschwert die schnelle Einschätzung für Nutzer und Sicherheitsfilter, weil die Domain zunächst zu OpenAI gehört. Erst der Download-Button führt auf eine externe Seite mit gefälschter OpenAI-Optik.

Nach Angaben von Push Security beginnt der Angriff mit Malvertising. Die Angreifer kaufen Suchanzeigen für Begriffe rund um ChatGPT. Ein Klick führt nicht sofort auf eine verdächtige Download-Seite, sondern auf einen geteilten ChatGPT-Link. Dort erscheint keine normale Unterhaltung. Stattdessen rendert die Seite eine selbst erstellte HTML- und CSS-Oberfläche mit einer angeblichen Überlastung des ChatGPT-Webdienstes.

Die Fake-Meldung behauptet, ChatGPT sei wegen zu vieler Nutzer vorübergehend nicht über das Web erreichbar. Nutzer sollen deshalb eine Desktop-App herunterladen. Sichtbare Bedienelemente wie Show code und Remix with ChatGPT zeigen laut Push Security, dass es sich nicht um eine echte Systemmeldung von OpenAI handelt. Die Seite ist ein gerendertes Nutzerartefakt innerhalb von ChatGPT.

Der Download-Button führt auf openew[.]app. Diese Seite imitiert laut den Sicherheitsforschern ein offizielles OpenAI-Download-Portal. Die Angreifer bieten dort Downloads für Windows und macOS an. BleepingComputer beobachtete zusätzlich Cloaking-Verhalten. Sicherheitsdienste wie URLScan sahen bei Prüfaufrufen eine harmlose AR/VR-Webseite statt der gefälschten ChatGPT-Downloadseite.

Malwarebytes analysierte dieselbe Fake-Download-Domain und ordnete die angebotenen Installer als Malware ein. Windows-Nutzer erhalten demnach einen Credential-Stealer-Loader. macOS-Nutzer erhalten Odyssey Stealer, eine Variante aus der AMOS-Familie. Diese Malware zielt auf Browserdaten, Passwörter, Cookies, Telegram-Sitzungen, Dateien und Krypto-Wallets. Damit geht der Angriff über einfache Phishing-Formulare hinaus.

Warum geteilte KI-Seiten für Angreifer attraktiv sind

Die Methode funktioniert, weil KI-Dienste das Teilen von Inhalten stark vereinfacht haben. OpenAI beschreibt geteilte ChatGPT-Links als eindeutige URLs für Gespräche. Nutzer verwenden diese Links für Kollegen, Freunde oder öffentliche Beispiele. Angreifer nutzen diesen Vertrauensvorschuss aus und bauen Inhalte, die wie offizielle Plattformmeldungen wirken.

Das strukturelle Problem liegt in der Wahrnehmung. Eine Seite auf chatgpt.com wirkt vertrauenswürdiger als eine unbekannte Domain. URL-Reputationssysteme bewerten die Hauptdomain oft als legitim. Der eigentliche Angriff entsteht erst durch Nutzerinhalte auf der vertrauenswürdigen Plattform und den späteren Wechsel auf eine Malware-Domain.

Push Security nennt außerdem Varianten mit Claude Artifacts. Dort hosten Angreifer ebenfalls gerenderte Inhalte und ClickFix-ähnliche Anleitungen. Frühere Kampagnen missbrauchten geteilte ChatGPT-, Claude- und Grok-Unterhaltungen für Installationsanweisungen mit schädlichen Terminal-Befehlen. LLMShare verschiebt diese Technik nun stärker in Richtung gefälschter Service-Seiten mit Download-Knopf.

Für Nutzer entsteht dadurch eine neue Prüfpflicht bei KI-Links. Eine ChatGPT- oder Claude-URL ist nicht automatisch eine offizielle Plattformmeldung. Geteilte Inhalte bleiben nutzergeneriert. Offizielle Downloads sollten nur über die bekannten Downloadseiten von OpenAI, App Stores oder den Microsoft Store erfolgen. Störungen lassen sich über die offizielle Statusseite von OpenAI prüfen.

So erkennen Nutzer verdächtige ChatGPT-Downloadseiten

Die wichtigsten Warnsignale liegen nicht nur in der URL. Besonders verdächtig sind künstliche Dringlichkeit, Download-Aufforderungen bei angeblichen Ausfällen und Weiterleitungen von einer geteilten KI-Seite auf eine fremde Domain. Nutzer sollten außerdem beachten, dass eine HTTPS-Verbindung und ein Schloss-Symbol im Browser keine Echtheit des Anbieters beweisen.

  • Keine Anzeigen für Software-Downloads nutzen: ChatGPT, Claude und andere KI-Apps besser direkt über die offizielle Webseite oder den jeweiligen App Store suchen.
  • Outage-Meldungen prüfen: Eine echte Störung sollte auf der offiziellen Statusseite des Anbieters erscheinen und nicht zu einem spontanen Desktop-Download führen.
  • Geteilte KI-Links skeptisch betrachten: Inhalte auf ChatGPT-Share-Links oder Claude-Artifacts können von Nutzern stammen und müssen keine offiziellen Hinweise sein.
  • Download-Domain kontrollieren: Eine fremde Domain mit OpenAI-Optik ist ein starkes Warnsignal. Markenlogo, dunkles Design und HTTPS reichen nicht als Sicherheitsnachweis.
  • Installationsbefehle meiden: Terminal-, PowerShell- oder Curl-Befehle aus Chatbot-Unterhaltungen sollten nicht kopiert und ausgeführt werden.
  • Nach verdächtiger Installation handeln: Betroffene sollten Passwörter auf einem sauberen Gerät ändern, aktive Sitzungen beenden und das System mit Sicherheitssoftware prüfen.

OpenAI und Anthropic hatten zum Zeitpunkt der geprüften Quellen keine konkreten öffentlichen Maßnahmen speziell zu dieser LLMShare-Kampagne veröffentlicht. Für Unternehmen wird die Erkennung schwieriger, weil Angreifer legitime SaaS-Domains als erste Stufe nutzen. Die Kampagne zeigt deshalb einen größeren Trend: Social Engineering verlagert sich zunehmend auf vertrauenswürdige Plattformen, deren Freigabe- und Rendering-Funktionen ursprünglich für legitime Zusammenarbeit gedacht waren.