Die Idee ist eigentlich simpel — und genau deshalb funktioniert sie. Wer einen Link auf chatgpt.com sieht, denkt: OpenAI, seriös, kein Phishing. Genau das nutzen die Hintermänner der Kampagne „LLMShare“ aus, die Sicherheitsforscher von Push Security dokumentiert haben. Keine Zero-Day-Lücke, kein gestohlenes Zertifikat — die Angriffsplattform hat OpenAI freundlicherweise selbst gebaut.
Ausfallseite statt Chatverlauf
Der Angriff startet mit Google-Anzeigen für Suchanfragen rund um ChatGPT. Ein Klick führt auf eine echte chatgpt.com/s/-URL — die offizielle Subdomain für geteilte Chats. Was dort erscheint, ist kein echter Gesprächsverlauf, sondern eine gefälschte Störungsmeldung: Das System sei wegen hohem Traffic nicht verfügbar, der Nutzer möge doch die Desktop-App herunterladen. Den Text hat ein vorbereiteter Prompt als ChatGPT-Antwort in den geteilten Chat eingebettet; die Funktion arbeitet, wie sie soll — nur zum falschen Zweck.
Der Download-Button zeigt auf openew[.]app, eine täuschend echt aussehende OpenAI-Portal-Kopie. Bevor die eigentliche Nutzlast geladen wird, prüft die Seite per Cloaking, ob das Gerät kein virtuelles System ist — ein Schutzmechanismus, der auf die Analyse durch Sicherheitsforscher abzielt. Was am Ende auf dem Rechner landet, ist noch nicht vollständig analysiert; bei früheren, technisch ähnlichen Kampagnen waren es Infostealer.
Nicht nur ChatGPT: Claude, Grok und das ChatGPhish-Problem
Parallel missbrauchten Angreifer Claudes Artifacts-Funktion für sogenannte ClickFix-Köder: Geteilte Claude-Chats tarnten sich als Apple-Support-Anleitungen und forderten Nutzer auf, Terminal-Befehle zu kopieren und auszuführen — wieder auf der legitimen claude.ai-Domain, wieder über eine absichtlich eingebaute Share-Funktion. Auch geteilte Grok-Konversationen wurden für ähnliche Angriffe eingesetzt.
Auf ChatGPT gibt es mit „ChatGPhish“ noch eine verwandte Angriffsfläche: Wenn das Modell eine Webseite zusammenfasst, rendert es dabei Markdown-Links — ein manipulierter Link kann IP-Adresse und Browser-Daten an einen Angreifer-Server übermitteln, noch bevor der Nutzer irgendetwas anklickt. Das Summarizer-Feature als Angriffsstufe, ohne aktives Zutun des Opfers.
Das Muster zieht sich durch alle Plattformen: Share-Funktionen, Artifacts, Summarizer — alles Features, die für legitime Nutzung entwickelt wurden, alle inzwischen als Angriffsvektor dokumentiert. Die Schwachstelle liegt nicht in einer einzelnen Lücke, sondern in der Architektur: Wer vertrauenswürdige Domains als offene Freigabeplattform betreibt — ich sehe das schon seit den ersten öffentlichen Paste-Diensten so — liefert Angreifern fertige Infrastruktur mit.
Für den Alltag gilt: Eine KI-Sharing-Seite lädt niemals zum Download von Software ein, und kein legitimes KI-Tool fordert über einen geteilten Link zur Ausführung von Terminal-Befehlen auf. Wer bei Google auf eine ChatGPT-Anzeige stößt, tippt die Adresse lieber direkt ein. Das ist keine neue Erkenntnis — nur die Zieldomain hat sich geändert.
