KI-Chatbots manipuliert: 150+ Fake-Domains verbreiten Schadsoftware

Betroffen sind vor allem Nutzer leistungsstarker PCs.

Seit April 2020 beobachten Sicherheitsexperten von Microsoft eine ausgeklügelte Kampagne, bei der Kriminelle die Antworten von KI-Chatbots manipulieren. Die Täter vergiften gezielt die Datenquellen, aus denen große Sprachmodelle ihre Informationen beziehen. Wer etwa nach Tools wie CrystalDiskInfo, HWMonitor oder dem K-Lite Codec Pack fragt, erhält plötzlich Links zu betrügerischen Domains – statt zu den offiziellen Quellen.

Da Kriminelle zunehmend KI-Chatbots für die Verbreitung von Schadsoftware und den Diebstahl sensibler Daten nutzen, wird der Schutz persönlicher Endgeräte immer wichtiger. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Schritte, um Ihr Smartphone effektiv gegen Hacker und Viren abzusichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Über 150 Fake-Domains im Netzwerk

Die Angreifer haben ein Netzwerk aus mehr als 150 betrügerischen Webseiten aufgebaut, darunter Adressen wie gleeze[.]com und giize[.]com. Microsoft spricht von einer Weiterentwicklung der klassischen SEO-Vergiftung: Statt nur Suchmaschinen zu manipulieren, greifen die Hacker nun direkt in die Datenumgebungen der KI-Systeme ein.

Das eigentliche Ziel der Kampagne: die Rechenleistung hochwertiger Grafikkarten für den Krypto-Mining zu kapern. Die Angreifer zielen bewusst auf Nutzer mit leistungsstarken GPUs ab, um Mining-Tools wie gminer, lolMiner und SRBMiner-MULTI möglichst effizient betreiben zu können.

So läuft der Angriff ab

Der Infektionsprozess beginnt harmlos: Der Nutzer lädt vermeintlich ein legitimes Tool herunter. Beim Ausführen nutzt die Malware eine Technik namens DLL-Sideloading – konkret kommen Dateien wie autorun.dll und vcredist_x64.dll zum Einsatz, um Sicherheitsmechanismen zu umgehen.

Um dauerhaft auf dem System zu bleiben, installieren die Angreifer die Datei SimpleRunPE.exe. Noch gefährlicher: Die Schadsoftware setzt ScreenConnect ein, ein legitimes Remote-Zugriffstool. Damit können die Hacker die Kontrolle über den infizierten Rechner übernehmen – und das für weitreichendere Aktionen wie Datendiebstahl oder die Einschleusung von Erpressungssoftware.

KI als Einfallstor: Ein wachsender Trend

Die Microsoft-Erkenntnisse reihen sich in eine besorgniserregende Entwicklung ein. Bereits Anfang des Jahres hatten Sicherheitsforscher von Kaspersky mehr als 92.000 Cyberangriffe mit gefälschten KI-Anwendungen zwischen Januar und Mai 2026 registriert. Fast die Hälfte dieser Attacken nutzte demnach gefälschte Versionen von ChatGPT. Auf die KI-Dienste Claude und Gemini entfielen jeweils 18 Prozent der Fälle.

Erst im Mai 2026 wurde die Hackergruppe Silver Fox dabei beobachtet, wie sie gefälschte Claude-KI-Anwendungen für Windows, macOS und Linux verbreitete – mit Spyware und Banking-Trojanern im Gepäck.

Auch GTA-6-Fans im Visier

Parallel dazu warnen Forscher von NordVPN vor einer weiteren Masche: Kriminelle nutzen die Vorfreude auf das Spiel GTA 6 aus. Über angebliche Beta-Tests verteilen sie Schadsoftware, die sowohl Windows- als auch Android-Nutzer mit Passwortdieben und aggressiver Werbesoftware infiziert.

Angesichts aggressiver Schadsoftware, die gezielt Passwörter von Windows- und Android-Nutzern stiehlt, raten Experten zu moderneren Sicherheitsmethoden. Erfahren Sie in diesem kostenlosen Report, wie Sie durch passwortlose Anmeldung Ihre Konten vor Datenklau schützen. Kostenlosen Report zur passwortlosen Anmeldung herunterladen

Schutz vor der neuen Bedrohung

Die Sicherheitsexperten raten zu einem einfachen, aber wirksamen Schutz: Software ausschließlich von den offiziellen Entwickler-Webseiten herunterladen. Besondere Vorsicht ist bei Links geboten, die KI-Chatbots für ausführbare Dateien liefern. Unternehmen sollten zudem auf Multi-Faktor-Authentifizierung setzen und ihre Patch-Management-Prozesse verschärfen.

Erst am 27. Mai 2026 hatte Mandiant eine kritische Sicherheitslücke im Lernmanagementsystem KnowledgeDeliver offengelegt (CVE-2026-5426). Die Schwachstelle ermöglicht Code-Ausführung ohne Authentifizierung und wurde bereits als Zero-Day ausgenutzt – unter anderem zur Installation von Web-Shells und des Cobalt-Strike-BEACON-Tools.

de | wissenschaft | 69429228 |