Fake Claude Code per Google Ads: wie funktioniert das?

Mehrere Google Ads verteilen Fake Claude Code mit Schadsoftware. Wenn der Installationsbefehl für Interessenten als Lockmittel dient.

Fake Claude Code per Google-Anzeige verteilt

Ein Hack des Claude-Herstellers ist nicht Basis der Kampagne

Nichts Neues, sondern ein ClickFix für eine andere Zielgruppe

Nutzer vertrauen blind der gefakten Website

Fake Claude Code - unser Fazit

Eine gefälschte Claude-Code-Seite, eine Google-Anzeige und ein kopierter Einzeiler reichten aus, um Nutzer zu manipulieren und in eine Infostealer-Kette zu ziehen. Das Problem ist wie so oft nicht das Tool selbst, sondern die eigene Vorgehensweise und der Umgang mit dem bereitgestellten Material. Wer beim Fake Claude Code für eine Prüfung auf Malware zu faul ist, gerät schnell in die aufgestellte Falle.

Fake Claude Code per Google-Anzeige verteilt

Wer derzeit bei Google nach „Claude Code” sucht, wird nicht nur auf echte Dokumentationen von Codeschnipseln und ganzen Codezeilen stoßen. Im Rahmen einer aktuellen Google-Ads-Kampagne führen bezahlte Anzeigen auf eine gefälschte Webseite der KI Claude. Das Layout orientiert sich dabei sehr stark am Original. Der Unterschied lag lediglich in der Domain und den ausgetauschten Befehlen, nicht in der optischen Aufmachung der Webseite. Als erster Sicherheitsanbieter berichtete kürzlich das Team von Bitdefender über diese Malware-Kampagne.

Ein Hack des Claude-Herstellers ist nicht Basis der Kampagne

Claude Code selbst hat man dabei nicht kompromittiert. Auch gelange es niemandem, Anthropic zu hacken. Was dennoch durchaus im Rahmen des Möglichen wäre. Bei der aktuellen Infostealer-Kampagne ist dies jedoch nicht der Fall. Die Angreifer nutzen die für manche Nutzer typische Bequemlichkeit und Inkompetenz aus.

Die offizielle Installation läuft ohnehin über Einzeiler für das Terminal oder die PowerShell. Genau darauf haben es die Angreifer abgesehen. Sie kreierten eine täuschend echte Seite und eine Dokumentation von Claude-Code. Das ist alles, was man braucht, um einen faulen Entwickler oder Vibe-Coder dazu zu verleiten, den verseuchten Code auszuführen.

Unter Windows lief das wie immer über die mshta.exe, also ein legitimes Microsoft-Programm, das weiteren Schadcode aus dem Netz nachlädt. Unter macOS sind es verschleierte Shell-Befehle und eine nachgeladene Mach-O-Datei, also ein normales, ausführbares Programm im nativen macOS-Format, um alles so unverdächtig wie möglich zu gestalten. Aber im Endergebnis läuft es auf einen Infostealer-Angriff hinaus.

Ziel der Aktion sind Passwörter, Cookies, Sitzungen und andere lokal gespeicherte Daten. Besonders heiß begehrt sind natürlich gut........

© Tarnkappe