Raw Record Source

{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreiga3ctf3bvzbiy6eaynfbnlxbbxq7re7o3ovdf4luxlqzuiywmcmy",
    "uri": "at://did:plc:6uy6dye3ds6ue6ntb4ve5fsy/app.bsky.feed.post/3mllce55i4wo2"
  },
  "coverImage": {
    "$type": "blob",
    "ref": {
      "$link": "bafkreif7m5hl65cbus7ednapqxmcmdixq2tcq4wpcxfrzjxwuhqqbfosay"
    },
    "mimeType": "image/jpeg",
    "size": 100427
  },
  "path": "/article/3135791/neuer-mac-stealer-tarnt-sich-als-apple-support-auf-claude.html",
  "publishedAt": "2026-05-11T10:30:00.000Z",
  "site": "https://www.macwelt.de",
  "tags": [
    "MacOS, Security Software and Services",
    "Sicherheitsforscher",
    "„Bleeping Computer“",
    "MacSync",
    "einen ähnlichen Angriff auf Macs berichtet",
    "zusätzliche Sicherung gegen präparierte Terminal-Befehle",
    "Antiviren-Software von Drittanbietern"
  ],
  "textContent": "Sicherheitsforscher und „Bleeping Computer“ haben im Netz eine neue Angriffswelle gegen Mac-Nutzer entdeckt. Die Angreifer tarnen sich als Apple Support in freigegebenen Claude-Chats und geben angebliche Hinweise, wie man auf dem eigenen Mac Software „Claude Code“ installieren kann. Dabei verleiten sie die Nutzer zum Kopieren und Ausführen eines Terminal-Befehls, der nach Beschreibung im gefälschten Chat „Claude Code“ herunterlädt, installiert und eine entsprechende Umgebung im System einrichtet.\n\nTatsächlich ist im Terminal-Befehl eine Download-URL verschlüsselt, die eine Mac-Malware im Hintergrund herunterlädt und die heruntergeladenen Dateien in einen Shell-Script schreibt. „Bleeping Computer“ hat mehrere solche Chats entdeckt, die eine ähnliche Angriffsweise auf unterschiedlichen Infrastrukturen ausnutzen. Dabei prüft eine Variante der Schadsoftware, ob auf dem infizierten Rechner eine russische Tastatur oder eine Tastatur aus dem ehemaligen GUS-Gebiet eingerichtet ist. Falls dies der Fall ist, wird die Schadsoftware beendet. Eine andere Variante des Mac-Stealers kommt ohne diese Überprüfung aus.\n\nDer Claude-Chat mit einem angeblichen Apple Support.\n\nHalyna Kubiv\n\nDie Installation des Mac-Stealers findet im Arbeitsspeicher statt, weswegen nur wenige offensichtliche Spuren im dauerhaften Speicher hinterlassen werden. Die installierte Software sammelt alle möglichen Log-in-Daten, Cookies und Inhalte des Schlüsselbundes unter macOS, verpackt sie und sendet sie auf den Server der Angreifer. Der Erst-Entdecker Berk Albayrak hat die Schadsoftware als eine Variante von MacSync identifiziert.\n\nWir haben bereits im Dezember 2025 über einen ähnlichen Angriff auf Macs berichtet, als ChatGPT und Grok als Verbreitungskanäle ausgenutzt wurden. Mit macOS 26.4 hat Apple eine zusätzliche Sicherung gegen präparierte Terminal-Befehle eingeführt: Das System warnt davor, einen anderswo kopierten und ins Terminal eingefügten Befehl auszuführen.\n\nGegen solche Angriffe empfiehlt es sich, sowohl macOS als auch Antiviren-Software von Drittanbietern immer auf dem aktuellen Stand zu halten.",
  "title": "Neuer Mac-Stealer tarnt sich als Apple Support auf Claude"
}