In der Pressemitteilung „Bybit Uncovers AI-Assisted macOS Malware Campaign Targeting Users Searching for Claude Code“, veröffentlicht am 21. April 2026 von Bybit über PR Newswire, wurden wir vom Unternehmen darüber informiert, dass die Überschrift und der neunte Absatz aktualisiert wurden. Die vollständige, korrigierte Mitteilung lautet wie folgt:
Vom Einsatz von KI unterstütztes Bybit-Sicherheitsteam deckt macOS-Malwarekampagne auf, die Nutzer beim Suchen nach Claude Code ins Visier nimmt
DUBAI, VAE, 21. April 2026 /PRNewswire/ -- Bybit, die weltweit zweitgrößte Kryptowährungsbörse nach Handelsvolumen, berichtete, dass ihr Security Operations Center (SOC) Ergebnisse veröffentlicht hat, die eine ausgefeilte, mehrstufige Malwarekampagne detailliert beschreiben, die macOS-Nutzer ins Visier nimmt, die nach „Claude Code“ suchen, einem KI-gestützten Entwicklungstool von Anthropic.
Der Bericht gehört zu den ersten bekannten Veröffentlichungen einer zentralisierten Krypto-Börse (CEX) über eine aktive Angriffskampagne, die Entwickler über Kanäle zur Entdeckung von KI-Tools ins Visier nimmt, und unterstreicht die wachsende Rolle des Sektors in der Cybersecurity-Intelligence an vorderster Front.
Die Kampagne, die erstmals im März 2026 identifiziert wurde, nutzte Search-Engine-Optimization-(SEO-)Poisoning, um eine bösartige Domain an die Spitze der Google-Suchergebnisse zu bringen. Nutzer wurden auf eine gefälschte Installationsseite umgeleitet, die der legitimen Dokumentation stark ähnelte und eine zweistufige Angriffskette auslöste, die sich auf das Abgreifen von Zugangsdaten, das Ausspähen von Krypto-Assets und einen dauerhaften Systemzugriff konzentrierte.
Die anfängliche Nutzlast, ausgeliefert über einen Mach-O-Dropper, installierte einen auf osascript basierenden Infostealer, der Merkmale bekannter AMOS- und Banshee-Varianten aufwies. Er führte eine mehrstufige Verschleierungssequenz aus, um sensible Daten zu extrahieren, darunter Browser-Zugangsdaten, Einträge im macOS-Schlüsselbund, Telegram-Sitzungen, VPN-Profile und Informationen zu Kryptowallets. Bybit-Forscher identifizierten zielgerichtete Zugriffsversuche auf mehr als 250 browserbasierte Wallet-Erweiterungen und mehrere Desktop-Wallet-Anwendungen.
Eine zweite Nutzlast der Angriffskette führte eine C++-basierte Backdoor ein, die über fortgeschrittene Umgehungsfunktionen verfügte, darunter Sandbox-Erkennung und verschlüsselte Laufzeitkonfigurationen. Die Malware etablierte Persistenz über System-Agenten und ermöglichte die Remote-Befehlsausführung über HTTP-basiertes Polling, was Angreifern eine fortlaufende Kontrolle über kompromittierte Geräte verschaffte.
Das SOC von Bybit nutzte KI-unterstützte Workflows über den gesamten Lebenszyklus der Malware-Analyse hinweg und verkürzte die Reaktionszeit deutlich, ohne an analytischer Tiefe einzubüßen. Die erste Triage und Klassifizierung der Mach-O-Probe wurde innerhalb von Minuten abgeschlossen, wobei Modelle Verhaltensähnlichkeiten mit bekannten Malware-Familien markierten.
KI-gestütztes Reverse Engineering und Kontrollflussanalyse reduzierten die Zeit, die für eine tiefgehende Untersuchung der zweiten Backdoor-Phase veranschlagt war, von geschätzten sechs bis acht Stunden auf unter 40 Minuten. Gleichzeitig identifizierten automatisierte Extraktionspipelines Indikatoren einer Kompromittierung (IOCs) – einschließlich Command-and-Control-Infrastruktur, Dateisignaturen und Verhaltensmuster – und ordneten sie etablierten Bedrohungsframeworks zu.
Diese Fähigkeiten ermöglichten die Implementierung von Erkennungsmaßnahmen noch am selben Tag. KI-unterstützte Regelgenerierung erleichterte die Erstellung von Threat-Signaturen und Endpoint-Detection-Regeln, die von Analysten validiert wurden, bevor sie in Produktionsumgebungen ausgerollt wurden. Von KI erstellte Berichtsentwürfe verkürzten die Durchlaufzeit zusätzlich, sodass Threat-Intelligence-Ergebnisse etwa 70 % schneller als mit traditionellen Workflows finalisiert werden konnten.
„Als eine der ersten Krypto-Börsen, die eine Malwarekampagne dieser Art öffentlich dokumentiert, sind wir überzeugt, dass die Weitergabe dieser Erkenntnisse entscheidend ist, um die kollektive Verteidigung in der gesamten Branche zu stärken“, sagte David Zong, Head of Group Risk Control and Security bei Bybit. „Unser KI-unterstütztes SOC ermöglicht es uns, innerhalb eines einzigen operativen Fensters von der Erkennung zur vollständigen Sichtbarkeit der Kill Chain überzugehen. Was früher ein Team von Analysten über mehrere Schichten hinweg benötigte – Dekompilierung, IOC-Extraktion, Berichtserstellung, Regelentwicklung – wurde in einer einzigen Session erledigt, wobei die KI die Schwerstarbeit übernommen und unsere Analysten Urteilsvermögen und Validierung beigesteuert haben. Mit Blick auf die Zukunft werden wir einem KI-Krieg gegenüberstehen. KI zur Verteidigung gegen KI einzusetzen, ist ein unvermeidlicher Trend. Bybit wird seine Investitionen in KI für Sicherheit weiter ausbauen, um Bedrohungserkennung auf Minutenebene und eine automatisierte, intelligente Notfallreaktion zu erreichen.“
Die Untersuchung deckte außerdem Social-Engineering-Taktiken auf, darunter gefälschte macOS-Passwortabfragen, mit denen Nutzeranmeldedaten validiert und zwischengespeichert wurden. In einigen Fällen versuchten Angreifer, legitime Crypto-Wallet-Anwendungen wie Ledger Live und Trezor Suite durch trojanisierte Versionen zu ersetzen, die auf bösartiger Infrastruktur gehostet wurden.
Die Malware zielte auf eine breite Palette von Umgebungen ab, darunter Chromium-basierte Browser, Firefox-Varianten, Safari-Daten, Apple Notizen sowie lokale Dateiverzeichnisse, die üblicherweise zur Speicherung sensibler Finanz- oder Authentifizierungsdaten verwendet werden.
Bybit identifizierte mehrere Domains und Command-and-Control-Endpunkte, die mit der Kampagne in Verbindung stehen; alle wurden für die öffentliche Offenlegung entschärft. Die Analyse zeigt, dass die Angreifer auf intermittierendes HTTP-Polling statt auf persistente Verbindungen setzten, was die Erkennung erschwerte.
Der Vorfall spiegelt einen wachsenden Trend wider, bei dem Angreifer Entwickler über manipulierte Suchergebnisse ins Visier nehmen – insbesondere, da KI-Tools zunehmend in den Mainstream vordringen. Entwickler bleiben aufgrund ihres Zugriffs auf Codebasen, Infrastruktur und Finanzsysteme hochwertige Ziele.
Bybit bestätigte, dass die bösartige Infrastruktur am 12. März identifiziert wurde und die vollständige Analyse, Eindämmung und Implementierung von Erkennungsmaßnahmen noch am selben Tag abgeschlossen war. Die öffentliche Bekanntgabe erfolgte am 20. März, begleitet von detaillierten Hinweisen zur Erkennung.
#Bybit / #CryptoArk / #NewFinancialPlatform
Über Bybit
Bybit ist die weltweit zweitgrößte Kryptowährungsbörse nach Handelsvolumen und betreut eine globale Community von über 80 Millionen Nutzern. Gegründet im Jahr 2018, definiert Bybit Offenheit in der dezentralen Welt neu, indem ein einfacheres, offenes und faires Ökosystem für alle geschaffen wird. Mit einem starken Fokus auf Web3 arbeitet Bybit strategisch mit führenden Blockchain-Protokollen zusammen, um robuste Infrastruktur bereitzustellen und Innovationen on-chain voranzutreiben. Bekannt für seine sichere Verwahrung, vielfältigen Marktplätze, intuitive Benutzererfahrung und fortschrittlichen Blockchain-Tools schlägt Bybit eine Brücke zwischen TradFi und DeFi und befähigt Entwickler, Kreative und Enthusiasten, das volle Potenzial von Web3 auszuschöpfen. Entdecken Sie die Zukunft der dezentralen Finanzen auf Bybit.com.
Für weitere Informationen über Bybit besuchen Sie bitte Bybit Press
Für Medienanfragen kontaktieren Sie bitte: [email protected]
Für aktuelle Informationen folgen Sie bitte: Bybit's Communities and Social Media
Discord | Facebook | Instagram | LinkedIn | Reddit | Telegram | TikTok | X | Youtube
