Wie die LLMShare-Kampagne ChatGPT-Links in ein Malware-Netzwerk verwandelt

Die eigentliche Innovation ist hier nicht die Schadsoftware selbst, sondern der Verbreitungsweg. Indem die initiale Phishing-Seite auf einer legitimen chatgpt.com-URL liegt, hebeln die Angreifer sowohl menschliches Misstrauen als auch automatisierte URL-Reputationsfilter aus. Wer die Adresszeile prüft, liest chatgpt.com und sieht das vertraute Schloss-Symbol. Dieser Vertrauensvorschuss macht die spätere Weiterleitung auf die bösartige Domain umso wirksamer .

Diese Kampagne ist Teil eines viel größeren Problems

Die LLMShare-Kampagne ist kein Einzelfall, sondern die jüngste Eskalation eines Musters, das Sicherheitsforscher schon seit Ende 2025 verfolgen. Damals entdeckten Cyberkriminelle, dass sie die Freigabe-Funktionen von KI-Plattformen als Infektionsweg missbrauchen können.

Bereits im Dezember 2025 deckte Kaspersky eine Kampagne auf, die die Teilen-Funktion von ChatGPT nutzte, um den AMOS-Infostealer auf macOS-Geräte zu schleusen. Die Angreifer erstellten professionell aussehende Installationsanleitungen für einen erfundenen „Atlas-Browser“ und veröffentlichten sie als öffentliche ChatGPT-Konversationen. Ahnungslose Nutzer, die den Anleitungen folgten, führten am Ende Terminal-Befehle aus, die Malware installierten . Bis Anfang 2026 weiteten sich solche Techniken auf andere KI-Plattformen aus, darunter auch DeepSeek. Die Angreifer zielten plötzlich auf Nutzer, die nach alltäglichen Problemlösungen suchten – zum Beispiel, wie man Speicherplatz auf einem Mac freigibt .

Dieser Trend geht weit über den Missbrauch geteilter Chats hinaus. Zwischen Juli 2025 und Februar 2026 dokumentierten Sicherheitsforscher die ersten Schadprogramme, die kommerzielle KI-Chatbot-Infrastruktur als primären Command-and-Control-Kanal (C2) nutzten . Mindestens 16 bösartige Chrome-Erweiterungen, getarnt als ChatGPT-Produktivitätstools, stahlen Anmelde-Token, statt die versprochenen Funktionen zu liefern . Die Threat Intelligence Group von Google identifizierte Malware-Familien wie PROMPTFLUX und PROMPTSTEAL, die große Sprachmodelle verwenden, um ihr Verhalten während der Ausführung dynamisch zu verändern – Google spricht hier von „Just-in-time-KI in Malware“ .

Selbst staatliche Akteure sind involviert. OpenAI gab an, koordinierte Operationen von Gruppen aus Russland, Nordkorea und China gestört zu haben, die ChatGPT für die Entwicklung von Schadsoftware, Phishing-Kampagnen und Desinformationskampagnen nutzen wollten . CrowdStrike hielt in seinem Threat Hunting Report 2025 fest, dass Gegner nun „KI in großem Stil als Waffe einsetzen“, um Angriffe zu beschleunigen, Zugangsdaten zu stehlen und Malware zu verbreiten .

Die Schadsoftware-Familien hinter dem Angriff

Für Windows-Nutzer ist die Nutzlast der LLMShare-Kampagne ein konventioneller Zugangsdatendieb, der im Browser gespeicherte Passwörter, Cookies und Authentifizierungstoken extrahiert. Für macOS-Nutzer ist die Bedrohung komplexer.

Odyssey Stealer ist ein evolutionärer Zweig der macOS-Informationsdiebe mit einer verschlungenen Abstammung. Seine Wurzeln liegen im Poseidon Stealer – einem Fork des Atomic Stealers (AMOS), der 2024 und Anfang 2025 stark verbreitet war. Ein Angreifer namens „Rodrigo“ (alias Rodrigo4), der zuvor am AMOS-Code mitgearbeitet hatte, übernahm den Poseidon-Code und begann, ihn als Odyssey Stealer weiterzuentwickeln . Mit der Umbenennung kamen signifikante technische Verbesserungen, die Apples Sicherheitsvorkehrungen aushebeln sollten: verschleierte AppleScript-Nutzdaten und Persistenz-Mechanismen, die die Malware selbst nach einem Systemneustart am Leben erhalten .

Als Malware-as-a-Service-Plattform funktioniert Odyssey nach einem Affiliate-Modell: Die Hauptentwickler pflegen die Schadsoftware und die C2-Infrastruktur, während unabhängige „Vertriebspartner“ den Zugang mieten und im Gegenzug einen Teil der Beute abgeben . Die Malware hat es gezielt auf eine breite Palette von Kryptowährungs-Software abgesehen. Censys-Forscher identifizierten 203 anvisierte Browser-Wallet-Erweiterungen sowie verschiedene Desktop-Krypto-Anwendungen .

Die Bedrohungserkennungsdaten von Red Canary zeigen, dass der Atomic Stealer das gesamte Jahr 2025 über der beliebteste macOS-Diebstahl-Trojaner blieb. Nach dem Rebranding zu Odyssey und dem erneuten Verteilungsstart erreichte er jedoch ähnliche Verbreitungszahlen . Beide Familien gehören durchgehend zu den größten Bedrohungen für Apple-Nutzer .

Warum die Abwehr so schwierig ist

Der Vertrauens-Trick, auf dem LLMShare basiert, stellt traditionelle Sicherheitslösungen vor eine grundlegende Herausforderung. Die erste Seite, die das Opfer sieht, liegt auf einer legitimen und weithin als vertrauenswürdig eingestuften OpenAI-Domain. URL-Filtersysteme, die sich allein auf den Domain-Ruf stützen, sehen chatgpt.com und lassen die Verbindung zu. Selbst ausgefeiltere Werkzeuge, die den Seiteninhalt prüfen, erkennen eine vermeintlich OpenAI-gebrandete Wartungsmeldung und stufen sie kaum als verdächtig ein .

Der Angriff setzt weder auf E-Mail-Phishing, noch auf bösartige Anhänge oder plumpe Social-Engineering-Tricks – er verlässt sich vollständig auf Googles Anzeigenplattform, um Opfer auf eine scheinbar offizielle OpenAI-Seite zu lotsen. Wenn die bösartige Weiterleitung erfolgt, vertraut der Nutzer der besuchten Domain bereits. Huntress-Forscher, die ähnliche Kampagnen untersuchten, stellten fest, dass diese Angriffe mit nur vier alltäglichen Nutzeraktionen erfolgreich sind: suchen, klicken, kopieren und einfügen .

Für Sicherheitsteams ist ein mehrschichtiger Verteidigungsansatz nötig. Entscheidend sind das Überwachen verdächtiger Google-Anzeigen, die bekannte populäre Dienste imitieren, das Blockieren identifizierter bösartiger Weiterleitungsdomains wie openew[.]app – und vor allem die Sensibilisierung der Nutzer. Sie müssen lernen, den tatsächlichen Inhalt einer geteilten ChatGPT-Konversation zu prüfen, statt blind der Domain zu vertrauen . Auch die Plattformbetreiber selbst stehen unter Druck, Schutzmechanismen zu implementieren, die den Missbrauch der Freigabe-Funktionen unterbinden, ohne legitime Anwendungsfälle zu zerstören .

Die LLMShare-Kampagne markiert einen Wendepunkt in der Phishing-Taktik. Indem Angreifer das Vertrauen ausnutzen, das Nutzer in große KI-Plattformen setzen, haben sie einen Verbreitungsweg gefunden, der wirksamer ist als herkömmliche Phishing-Mails und schwerer von konventionellen Abwehrmechanismen zu fassen. Je weiter die KI-Plattformen wachsen und ihre Freigabe-Funktionen raffinierter werden, desto größer wird die Angriffsfläche.