Googeln Sie nicht "Claude Mac Download" - Das Top-Ergebnis leert Ihren Schlüsselbund

11 min read

Sie geben „claude download mac" in Google ein. Sie klicken auf das erste Ergebnis (gesponserte Anzeige, verifiziertes Badge, URL ist claude.ai). Sie landen auf einem geteilten Claude-Chat mit dem Titel „Running Claude Code on Mac", markiert mit „Shared by Apple Support" oben rechts, mit einem bash-Befehl zum Einfügen ins Terminal. Dreißig Sekunden später liegt Ihr Schlüsselbund auf einem Server in Sydney. Keine gefälschte URL in der gesamten Kette. Kein Tippfehler. Keine Fake-Domain.

TLDR: Eine aktuelle Malware-Kampagne nutzt verifizierte Google Ads und claude.ai geteilte Chats, um Mac Schlüsselbunde zu stehlen. Nichts in der Kette ist technisch gefälscht. Das ist der Teil, der Sie beunruhigen sollte.

Büroangestellter am Schreibtisch ignoriert Sicherheitswarnungen während er Terminal-Befehle einfügt, Superhelden-Figur im Hintergrund hält Telefon mit KI-Bedrohungsanalyse und roten Flaggen
Ein Büroangestellter ignoriert KI-Warnungen und fügt trotzdem verdächtigen Code ein.

Die Betrüger werden immer besser. Lassen Sie mich Ihnen zeigen, was passiert ist, denn jeder einzelne Schritt dieses Angriffs sieht legitim aus, bis Sie verstehen, was „legitim" 2026 wirklich bedeutet.

15.600 Macs, Eine Google-Suche, Eine Eingefügte Zeile

TITRE "The Real-URL Malware Chain" + sous-titre "Five legitimate steps and one fake title. 15,600 dead Keychains.". Metaphore : convoyeur d'usine industriel, 5 stations alignees de gauche a droite, chacune avec un badge "VERIFIED" vert sauf une station marquee "FAKE" en rouge eclatant. Style : cartoon technique 90's Hanna-Barbera/Nickelodeon, trait noir epais, halftone dots, formes rebondies, petits personnages d'ouvriers entre les stations. Palette : claude.ai orange #D97757, alert red #E53935, check green #43A047, paper cream #FFF8E7, ink black #111111. Contenu : 5 stations etiquetees (1) GOOGLE SEARCH "claude download mac" (2) SPONSORED AD "URL claude.ai verified" (3) SHARED CLAUDE CHAT "real anthropic.com" (4) BASH COMMAND "pasted in Terminal" (5) KEYCHAIN EXFIL "to Sydney server". Sous chaque station un badge check vert sauf la station 3 qui porte un sub-tag attacker-controlled "Shared by Apple Support" en rouge avec une grande croix. Une fleche manuscrite pointe ce sub-tag avec la legende "← the only fake thing in the entire chain". Highlight : le sub-tag de la station 3 glow rouge avec sparkle stars et halo, les 4 autres stations restent en vert calme, presque ternes par contraste. Legende : sticky note bas-gauche, ecriture main, "green badge = genuinely legitimate / red tag = attacker-controlled text". Footer : © rentierdigital.xyz bas-droite, petit, ecriture main. NOT flat corporate vector, NOT stock cybersecurity infographic, NOT minimalist tech aesthetic.
Malware-Kette: Ein gefälschter Schritt unter fünf echten

Die Kampagne wurde erstmals von Berk Albayrak, einem Security Engineer bei Trendyol, am 9. Mai gemeldet. Als BleepingComputer zwei Tage später darüber berichtete, verfolgte Moonlock Lab bereits 15.600+ Macs, die von der breiteren MacSync Infostealer-Familie betroffen waren (diese Claude-Variante ist die neueste Iteration, nicht die gesamte Opferzahl). Anvilogic veröffentlichte in derselben Woche eine vollständige technische Analyse.

Hier ist die gesamte Kette in einem Bild. Fünf Schritte. Jeder einzelne ist technisch legitim, außer dem in Rot.

[BILD: Angriffskette zeigt: Google-Suche → Gesponserte Anzeige (verifiziert) → claude.ai geteilter Chat → „Shared by Apple Support"-Label (gefälscht) → Terminal-Befehl → Schlüsselbund-Diebstahl]

Eine gesponserte Anzeige. Verifiziert. claude.ai. Sie klicken. Sie landen auf einem echten geteilten Claude-Chat, gehostet auf Anthropic-Infrastruktur, mit dem Titel „Running Claude Code on Mac" und einem nutzergesteuerten Label „Shared by Apple Support" oben rechts. Da ist ein Code-Block. Der Code-Block enthält einen Einzeiler. Sie fügen ihn ins Terminal ein, weil genau das jedes legitime Dev-Tool-Onboarding Ihnen fünfzehn Jahre lang beigebracht hat.

Es ist mittlerweile Muskelgedächtnis, derselbe Reflex, der Sie A drücken lässt, um einen Dialog wegzuklicken, den Sie hundertmal gelesen haben.

Was diesen Angriff vom üblichen Phishing unterscheidet, ist, dass Sie die gesamte Kette verfolgen können, ohne eine einzige Sache zu finden, die im klassischen Sinne „gefälscht" ist. Die URL ist claude.ai, weil es wirklich claude.ai ist. Die Anzeige ist verifiziert, weil Google den Werbetreibenden wirklich als legitim betrachtet, ein Unternehmen aus Sydney namens KB & CO Holdings PTY LTD. Der geteilte Chat existiert wirklich und wurde wirklich auf Anthropic-Servern geteilt.

Die einzige Lüge in der ganzen Kette sind die Worte „Shared by Apple Support", die der Angreifer in den Titel seines eigenen Chats getippt hat.

Das ist der gesamte Angriff. Ein Titel.

Fügen Sie Diesen Befehl in Einen Neuen Claude-Tab Ein und Fragen Sie, Was Er Macht

Das ist der Teil, den noch niemand auf Medium geschrieben hat, also sage ich es klar heraus. Dieselbe KI, die als Malware-Verteilungsinfrastruktur missbraucht wird, ist auch die beste Verteidigung gegen diesen Angriff, und die Demo dauert dreißig Sekunden.

Öffnen Sie eine neue Claude-Unterhaltung (oder ChatGPT, oder Gemini, wählen Sie Ihren Favoriten). Fügen Sie den verdächtigen Befehl ein. Fragen Sie: „Was macht dieser Befehl, und dekodieren Sie jedes base64 darin."

Das war's. Das ist die ganze Technik.

Bei einem Befehl dieser Form (ein base64-verpackter curl, direkt in bash weitergeleitet, was das dokumentierte Muster ist, das Albayrak im bösartigen Chat fand), entpackt das Modell es in Sekunden. Es dekodiert das base64 in eine lesbare URL (in der ursprünglichen Kampagne war der C2 auf customroofingcontractors.com gehostet, einem kleinen amerikanischen Dachdeckerunternehmen, dessen Seite kompromittiert und in Verteilungsinfrastruktur verwandelt wurde). Es erklärt, dass das -k-Flag die SSL-Verifizierung deaktiviert. Es erklärt, dass das -f-Flag curl anweist, stumm ohne Fehlermeldung zu scheitern. Es markiert das ganze Muster als konsistent mit macOS-Malware-Verteilung.

Sie haben gerade einen Claude-Tab benutzt, um sich gegen einen Angriff zu verteidigen, der einen Claude-Tab als Verteilungsinfrastruktur nutzt. Die Ironie gibt's gratis dazu.

Ich habe dieselbe Eingabe an drei verschiedenen Modellen getestet. Alle markierten den Befehl in unter dreißig Sekunden. Keines erfordert einen Sicherheitshintergrund. Keines erfordert, dass Sie wissen, was base64 ist. Sie müssen nur die Worte „das sieht nach Malware-Verteilung aus" sehen und den Tab schließen.

Nutzen Sie das Modell, das die Malware verteilt, um die Malware zu lesen. C'est la vie.

Warum „URL Prüfen" Nicht Mehr Funktioniert

Zwanzig Jahre Sicherheitstraining lehrten Ihnen eine einzige Regel. Prüfen Sie die URL. Die Logik war einfach: Die Domain sagt Ihnen, wem die Werbetafel gehört, und zwei Jahrzehnte lang erforderte das Fälschen der Nachricht das Fälschen der Werbetafel. Also reichte es, die Werbetafel zu prüfen.

Diese Gleichung zerbrach stillschweigend, irgendwann um den Moment, als Plattformen entschieden, dass es ein großartiges Produktfeature sei, Nutzern zu erlauben, Inhalte auf der Hauptdomain der Plattform zu veröffentlichen. Geteilte Chats auf claude.ai und chatgpt.com. Öffentliche Seiten auf sites.google.com und pages.dev. Das Domain-Siegel garantiert jetzt, dass die Plattform existiert und die Domain besitzt. Es sagt nichts über die individuelle Nachricht aus, die darin sitzt.

Anthropic hat auf dem Papier das Richtige getan. Der geteilte Chat trägt einen expliziten Warnbanner: „Content may include unverified or unsafe content that does not represent the views of Anthropic." Er ist sichtbar. Er ist klar formuliert. Die rechtliche Box ist abgehakt.

Das Problem ist die Zeile direkt darunter. Der nutzergesteuerte Chat-Titel. Der Angreifer tippte „Shared by Apple Support" in seinen eigenen Chat-Titel, und diese einzige Zeile stellt eine Illusion von Autorität wieder her, die der Disclaimer darüber eigentlich zerstören soll.

Ein Leser, der die Seite in zwei Sekunden scannt, liest: Anthropic, Apple Support, Code, einfügen. Der Warnbanner ist echt und der Titel ist gefälscht, aber beide teilen sich denselben visuellen Raum, und das menschliche Auge gewichtet sie beim Scannen nicht unterschiedlich. Die Kombination aus Disclaimer plus nutzergesteuertem Label übersteht keinen Leser, der nicht bereits darauf trainiert ist, speziell dem Chat-Titel zu misstrauen.

AdGuard schrieb genau diese Kritik vor drei Monaten, als dasselbe Muster verwendet wurde, um gefälschte Homebrew-Installationsbefehle über Cloudflare Pages und Google Sites zu verteilen. Ihre Formulierung war schärfer als meine: nutzergenerierte Inhalte auf der Haupt-Second-Level-Domain zu platzieren, schafft ein Vertrauensniveau, das der Inhalt nicht verdient hat. Sie bemerkten auch, dass der Disclaimer auf Mobilgeräten unsichtbar ist. Drei Monate später sind wir hier, gleiche Architektur, gleicher Angriff, andere Plattform, fünfzehntausend weitere Opfer.

Die Werbetafel ist echt. Die Nachricht darauf ist es nicht.

Dieses Muster Läuft Seit Sechs Monaten. Niemand Will Es Reparieren.

Das Muster, das diese Woche Claude traf, ist die fünfte öffentliche Iteration in sechs Monaten.

November 2025 sah gefälschte ChatGPT Atlas-Installer, die über dieselbe ClickFix Social Engineering-Schleife verbreitet wurden. Dezember 2025 fügte Mac-Bereinigungsanfragen hinzu, die auf dieselbe Payload zeigten. Februar 2026 brachte Homebrew-Installationsbefehle, gehostet auf Cloudflare Pages und Google Sites (die Iteration, die AdGuard detailliert dokumentierte). März 2026 sah The Hacker News die Kampagne nach Belgien, Indien und Amerika migrieren mit dynamischer AppleScript-Generierung. Mai 2026 landet auf Claude geteilten Chats.

Fünf Iterationen, sechs Monate, austauschbare Oberfläche. Anvilogics Diagnose ist schärfer als meine: Verteidigungen, die schauen, was ein Befehl macht, werden Verteidigungen überdauern, die schauen, wo die Seite lebt. Die Oberfläche wird sich weiter bewegen. Das ist die gesamte Branchenzusammenfassung, und Plattformen können dieses Spiel nicht gewinnen, indem sie nur die Oberfläche flicken.

Warum repariert es also niemand? Die ehrliche Antwort ist, dass niemand die richtige Anreizstruktur hat. Google kassiert Anzeigengeld vom Werbetreibenden (KB & CO Holdings, zahlt australische Dollar, um kompromittierte Installer zu bewerben, das ist die Geschäftstransaktion, für die Google bezahlt wird). Anthropic hostet die nutzergenerierten Inhalte, die Engagement-Metriken für das geteilte Chat-Feature antreiben, was ein Produktfeature ist, das Menschen wirklich nutzen. Keines der Unternehmen hat einen starken kommerziellen Grund, aggressiv in Vorab-Scanning zu investieren.

Das Sicherheitsbudget bei den meisten Plattformen liegt in derselben Schublade wie die Garantie der Espressomaschine.

Die operativen Kosten fallen vollständig auf den Endnutzer, der den Befehl einfügt.

Das ist nicht einzigartig für Anthropic. Ich schrieb vor ein paar Wochen einen Artikel über ein anderes geteilte-Inhalte-Angriffsmuster auf Claude Cowork, wo dieselbe Grundursache (Nutzerinhalte bekommen standardmäßig die Autorität der Plattform) eine Prompt Injection-Angriffsfläche innerhalb des Dateikollaborationsfeatures schuf. OpenAI hat dasselbe Modell. xAI hat dasselbe Modell. Die architektonische Entscheidung, Nutzerinhalte auf der Hauptdomain fahren zu lassen, ist branchenweit, und es ist eine Produktentscheidung, kein Sicherheitsversehen.

Wenn Sie darauf warten, dass die Plattformen das vor der nächsten Kampagne reparieren, schauen Sie auf den Kalender. Die Plattformen wissen es seit sechs Monaten. Sechs Monate ist die Antwort.

Das 4-Reflex-Playbook

TITRE "The 4-Reflex Playbook" + sous-titre "Effort goes up. Yield goes down. Start with #1.". Metaphore : tableau de bord retro arcade vertical, 4 boutons-cadrans empiles du plus rentable (en haut) au moins rentable (en bas), chaque bouton emet une lumiere neon proportionnelle a son ratio cost/benefit. Style : retro arcade 80's, neons, contours cyan epais, formes pixel-art melees de halftone, rivets visibles sur la console. Palette : neon cyan #4FC3F7, hot pink #FF3E7F, mustard yellow #F4C430, ink black #111111, cream #FFF8E7. Contenu : 4 boutons empiles (1) PULL, DON'T PUSH "type the URL directly, never click sponsored" (2) CHECK THE ADVERTISER "open 'About this advertiser' on the ad" (3) NEVER PASTE FOREIGN COMMANDS "if you didn't write it, don't run it" (4) DECODE WITH AI "paste suspicious bash into a new Claude tab". A cote de chaque bouton, un mini bargraph "effort" et un mini bargraph "yield" qui s'inversent du haut vers le bas. Highlight : reflexe 1 en glow cyan intense avec sparkle stars et "BEST RATIO" badge dore, reflexe 2 en glow modere, reflexe 3 en glow faible, reflexe 4 en glow tres faible, degrade visible. Legende : sticky note bas-gauche, ecriture main, "bigger glow = better cost/benefit. start at the top.". Footer : © rentierdigital.xyz bas-droite, petit, ecriture main. NOT minimalist tech startup aesthetic, NOT corporate checklist, NOT flat icon set.
Das 4-Reflex-Playbook: Arcade-Style Sicherheitsleitfaden

Vier Reflexe. Geordnet nach Aufwand, vom günstigsten zum höchsten. Der erste allein neutralisiert die gesamte Angriffsfläche, die diese Woche Mac-Nutzer traf, also wenn Sie sich nur an einen erinnern, merken Sie sich Nummer eins.

1. Ziehen, nicht schieben lassen. Wenn Sie Software herunterladen wollen, tippen Sie die URL direkt in die Adressleiste. Klicken Sie niemals auf ein gesponsertes Ergebnis, auch wenn die URL richtig aussieht. Das echte Ergebnis des Anbieters ist eine Position darunter, kostenlos und zeigt an den richtigen Ort. Die zwei Sekunden, die Sie durch Klicken auf die Anzeige sparen, kosteten diese Woche 15.600 Menschen ihren Schlüsselbund. Ziehen bedeutet: Sie holen sich die Software von dort, wo Sie wissen, dass sie lebt. Schieben lassen bedeutet: Sie lassen die Suchmaschine entscheiden, was sie Ihnen zuerst zeigt. Das Push-Modell ist kaputt, wenn der erste Platz an den versteigert wird, der am meisten bezahlt hat, einschließlich Angreifer.

2. Prüfen Sie, wer für die Anzeige bezahlt hat. Wenn Sie trotzdem auf das gesponserte Ergebnis klicken (was Sie nicht sollten, aber manchmal leiten Onboarding-Flows Sie über Google), öffnen Sie die drei Punkte bei der Anzeige und schauen Sie auf „Über diesen Werbetreibenden". Wenn die Entität, die für die Anzeige bezahlt, nicht der Anbieter ist (Anthropic, Apple, Mozilla, brew.sh, was auch immer Sie wirklich herunterladen wollten), schließen Sie den Tab. Bei der Kampagne dieser Woche zeigte das Werbetreibenden-Panel KB & CO Holdings PTY LTD, registriert in Sydney, Australien. Anthropic ist in Delaware eingetragen. Die Diskrepanz ist das gesamte Signal, das Sie brauchen. Google wird das nicht für Sie abfangen. Sie müssen hinschauen.

3. Fügen Sie niemals einen Terminal-Befehl ein, den Sie nicht geschrieben haben. Nicht von Claude geteilten Chats, nicht von StackOverflow, nicht von YouTube-Tutorials, nicht von offiziell aussehenden Dokumentationsseiten, die Sie über eine Anzeige erreicht haben. Wenn Sie den Befehl nicht getippt haben, fügen Sie ihn nicht ein.

Das ist der schwierigste Reflex, weil die halbe Dev-Ökosphäre fünfzehn Jahre damit verbracht hat, Ihnen genau das Gegenteil beizubringen. Jedes CLI, das es wert ist, installiert zu werden, hat einen curl | bash Einzeiler in seiner README: Homebrew, oh-my-zsh, nvm, rustup, Claude Code selbst. Wir haben eine ganze Generation von Entwicklern auf einen Workflow trainiert, der strukturell nicht von diesem Angriff zu unterscheiden ist, dann haben wir ihnen eine Sicherheitscheckliste gegeben, die sagt „fügen Sie keine zufälligen Befehle ein." Wir sind der Anruf aus dem eigenen Haus.

Liefern Sie CLIs aus, soviel Sie wollen, ich argumentierte vor ein paar Monaten ausführlich dafür. Der Installationsflow ist trotzdem die Schwachstelle, und die Branche hat noch keine saubere Alternative gefunden.

4. Wenn Sie es einfügen müssen, dekodieren Sie es zuerst mit KI. Abschnitt zwei, nochmal. Öffnen Sie einen neuen Claude-Tab, fügen Sie den Befehl ein, fragen Sie, was er macht. Wenn die Antwort SSL-Verifizierung deaktiviert, stummes Scheitern, Remote-Shell-Ausführung oder irgendeine URL erwähnt, die Sie nicht erkennen, schließen Sie den Tab und gehen weg. Dreißig Sekunden Verifizierung gegen Ihren Schlüsselbund, Ihre iCloud, Ihre gespeicherten Browser-Passwörter und welche Wallets Sie zu dem Zeitpunkt entsperrt hatten. Das ist der Preisvergleich.

Das ist das Playbook. Vier Reflexe, keine Tools zu installieren, kein Abonnement zu bezahlen, keine Zertifizierung zu erwerben. Der schwierigste Teil ist, fünfzehn Jahre „einfach das hier einfügen" zu verlernen.

Der menschliche Filter, den wir über zwanzig Jahre lernten, beruhte auf einer Hypothese, die nicht mehr wahr ist: dass man, um eine Nachricht zu fälschen, die Werbetafel fälschen musste. Diese Woche ist es claude.ai. Nächste Woche ist es die Anzeige für den nächsten Cursor, die nächste Notion, das nächste Linear, gehostet auf einer legitimen Google Site. Der Mechanismus wird Jahre dauern. Der Reflex, der dagegen hält, passt in einen Satz.

Verifizieren Sie die Aktion, nicht die Herkunft.

Quellen