Gefälschter Claude-Code-Installer per ClickFix: ein fileless Infostealer hinter einem MP3/HTA-Polyglot — und warum es die Einsteiger trifft
31. Mai 2026. Das Threat-Intel-Team Howler Cell (Cyderes) hat am 28. Mai eine aktive Kampagne offengelegt, die per SEO-Poisoning eine gefälschte Claude-Code-Installations-Seite an die Spitze der Suchergebnisse bringt und Erstnutzer per ClickFix-Lure dazu bringt, einen mshta.exe-Befehl in den Windows-Ausführen-Dialog (Win+R) zu kopieren. Dahinter liegt eine sechsstufige, nach Stufe 1 vollständig fileless Kette: ein 6,7-MB-MP3/HTA-Polyglot, eine bewusst gewählte 32-bit-PowerShell mit AMSI-Bypass, eine per-Opfer-Subdomain auf oakenfjrod[.]ru und ein reflektiv im Speicher geladener .NET-Infostealer, der Browser-Credentials an russische Infrastruktur exfiltriert. Anthropic selbst ist nicht kompromittiert — die Marke wird imitiert, der legitime Installations-Weg ist unberührt; getroffen werden gezielt motivierte Einsteiger ohne EDR, deren Notebook anschließend zum Einstiegspunkt in Unternehmens-Identitäten wird.
TL;DR — die 90-Sekunden-Zusammenfassung
- Was wurde veröffentlicht?
Cyderes-Howler-Cell-Report (28.05.2026): aktive SEO-Poisoning-Kampagne, die eine gefälschte Anthropic-/Claude-Code-Installations-Seite oben in den Suchergebnissen platziert. Über eine ClickFix-Social-Engineering-Lure wird das Opfer angewiesen, einen
mshta.exe-Befehl in den Win+R-Dialog zu kopieren. Ergebnis: ein fileless Infostealer, der Browser-Credentials stiehlt.- Wie schwer?
Hoch (operative Einschätzung — kein CVE, kein CVSS). Aktive In-the-wild-Kampagne mit Credential-Diebstahl; Einstieg sozial-engineering-gated (Nutzer muss den Befehl selbst ausführen). Der Impact ist Identitäts-Diebstahl: Browser-Credential-Store, danach potenziell Sessions, Tokens und alles, worauf das kompromittierte Konto Zugriff hat.
- Wer ist das Ziel?
Erstnutzer von Claude Code — laut Cyderes ausdrücklich kleine Unternehmer, Selbstständige, Lehrkräfte, Einsteiger ohne Enterprise-Schutz (kein Proxy-Filtering, kein EDR, kein Security-Team). Das Opferprofil ist nicht der unvorsichtige Admin, sondern der motivierte Anfänger ohne Baseline dafür, wie eine legitime Installation aussehen sollte.
- Bin ich als Moselwal-Kunde betroffen?
Nicht über eine Lücke in einem Ihrer Produkte — die Kampagne nutzt keine Software-Schwachstelle, sondern Social Engineering. Betroffen sind Sie über Ihre Menschen: jede Person in Ihrem Team (oder im erweiterten Umfeld), die Claude Code oder ein vergleichbares KI-CLI-Tool zum ersten Mal installiert und dabei auf eine gefälschte Anleitung stößt. Ein kompromittiertes Entwickler-Notebook liefert Browser-Credentials und damit oft den Weg zu Git-, Cloud- und CI/CD-Zugängen.
- Sofort-Maßnahme?
Drei Punkte. Erstens, Awareness: Claude Code installiert man nie durch Einfügen eines Befehls in den Windows-Ausführen-Dialog — eine Install-Seite, die das verlangt, ist ein Angriff. Zweitens, Detection scharf stellen: ausgehende Verbindungen von
mshta.exe, 32-bit-PowerShell aus geplanten Tasks, DNS-Wildcard-Queries auf*.oakenfjrod[.]ru. Drittens, im Verdachtsfall sofort Credential-Rotation (Browser-Passwörter, Sessions, OAuth-Tokens) und das Notebook als kompromittiert behandeln.- Kritikalität?
Hero-Badge
high(operative Einschätzung). Aktive Kampagne; Cyderes verfolgt die Infrastruktur (download.version-516[.]com,oakenfjrod[.]ru,185.177.239.255) weiter, da der Operator sie rotiert.
Was ist passiert
Howler Cell, das Threat-Intelligence-Team der Sicherheitsfirma Cyderes, hat am 28. Mai 2026 eine aktive Credential-Diebstahl-Kampagne dokumentiert, die gezielt Erstnutzer von Anthropics Claude Code ins Visier nimmt. Der Einstieg ist SEO-Poisoning: Wer nach „Claude Code install“ sucht, landet auf einer gefälschten Anthropic-Seite, die in den Suchergebnissen über der legitimen Quelle steht. Die Seite sieht überzeugend aus und folgt einem vertrauten Muster — Dialog öffnen, Befehl einfügen, Installation abschließen.
Genau dieser Schritt ist die Falle. Es handelt sich um die ClickFix-Technik: eine Social-Engineering-Methode, die einen vom Angreifer gelieferten mshta.exe-Befehl als harmlosen Installations-Schritt rahmt. Das Opfer öffnet den Windows-Ausführen-Dialog (Win+R) und fügt den Befehl ein. Damit etabliert der Angreifer eine „hands-on-keyboard“-Ausführung — also eine vom Nutzer manuell ausgelöste statt automatisierte Ausführung —, was viele automatische Sandbox- und Endpoint-Kontrollen umgeht, die auf skriptgesteuerte Drive-by-Muster anspringen.
Der entscheidende Punkt aus dem Cyderes-Report ist das Opferprofil. Das Ziel ist nicht der nachlässige IT-Administrator, sondern der gerade ermächtigte Einsteiger: der Kleinunternehmer, der seine Rechnungsstellung automatisieren will; die Lehrkraft, die ein Bewertungs-Tool baut; der Gründer mit einer App-Idee. Diese Gruppe wächst durch KI-Coding-Tools rasant, hat aber selten Enterprise-Schutz — kein Proxy-Filtering, kein EDR, kein Security-Team — und keine Baseline dafür, wie eine legitime Installation aussehen sollte. Das Einfügen eines Befehls in einen Dialog ist für sie so plausibel wie jeder andere Schritt. Cyderes formuliert es deutlich: die Adoptions-Kurve von Claude Code ist nicht eine Fußnote dieser Kampagne, sie ist die Angriffsfläche.
Wichtig für die Einordnung: Cyderes bestätigt ausdrücklich, dass Anthropic selbst nicht kompromittiert wurde. Die Marke wird imitiert, der legitime Claude-Code-Installations-Weg ist unberührt. Diese Kampagne ist eine technisch eigenständige Akteurs-Spur derselben Themenfamilie wie die im Mai dokumentierte Installer-Impersonation-Welle gegen Claude Code und Gemini CLI — siehe unsere strategische Einordnung dazu: Wenn die KI-Tool-Installation zur Falle wird.
Technische Einordnung
Die Kette ist nach Stufe 1 vollständig fileless und an jeder traditionellen Erkennungsfläche bewusst vorbeigebaut — dateibasiertes AV, AMSI, DNS-Reputation, Prozessbaum-Heuristik und Image-Load-Monitoring sind jeweils im Design berücksichtigt. Der Reihe nach:
Stufe 1 — MP3/HTA-Polyglot via mshta.exe
Der eingefügte Befehl ruft mshta.exe mit einer HTTPS-URL auf download.version-516[.]com/claude auf — einer Software-Update-getarnten Lure-Domain. Der abgerufene Payload ist ein 6,7-MB-MP3/HTA-Polyglot: eine einzige Datei, die gleichzeitig die Parsing-Regeln zweier Formate erfüllt. Sie trägt einen gültigen ID3v2.4-Tag, eingebettetes JPEG-Cover-Art und abspielbare MPEG-Audio-Frames in den ersten ~4,7 MB. Sicherheits-Tools, die die Datei am Header klassifizieren, sehen ein legitimes MP3. mshta.exe dagegen parst linear, läuft am Audio-Inhalt vorbei und führt den eingebetteten HTA-Skript-Block aus.
Stufe 2 — Persistenz und 32-bit-PowerShell-Loader
Das HTA registriert über das Schedule.Service-COM-Objekt einen geplanten Task, der cmd.exe startet. Die Kommandozeile rekonstruiert den String „powershell“ zur Laufzeit aus geteilten Variablen (gegen statische Signaturen) und ruft gezielt die 32-bit-PowerShell unter %windir%\SysWOW64\WindowsPowerShell\v1.0\powershell.exe auf. Diese Wahl ist Absicht: EDR-Telemetrie-Abdeckung ist häufig auf 64-bit-Prozessaktivität gewichtet. Das Skript führt drei Schritte aus: einen AMSI-Bypass (Patch von AmsiUtils.amsiInitFailed im Speicher via Marshal::WriteInt32), eine RC4-String-Entschlüsselung mit dem fest verdrahteten Schlüssel BWJFEesMEqRvjQbm, und ein Opfer-Fingerprinting über einen MD5-Hash aus COMPUTERNAME+USERNAME.
Stufe 3 — per-Opfer-Subdomain auf oakenfjrod[.]ru
Der MD5-Fingerprint dient als Subdomain-Label für eine eindeutige Retrieval-URL der Form <MD5_HASH>.oakenfjrod[.]ru/cloude-<uuid>. Die Antwort wird direkt in IEX gepipt und im selben 32-bit-PowerShell-Prozess im Speicher ausgeführt — nichts wird auf die Platte geschrieben. Das Stage-3-Skript ist rund 17 MB groß (legitime Loader liegen typischerweise unter 100 KB). Diese Größe ist darauf ausgelegt, automatische Deobfuskatoren zu brechen, Sandbox-Speicherlimits zu sprengen und Analysten auszubremsen — mit integer-kodierten Byte-Arrays, mehrlagiger String-Fragmentierung, Laufzeit-Variablen-Mangling, gestapelten Base64-/RC4-Schichten und einer dritten XOR-Schicht mit dem Schlüssel AMSI_RESULT_NOT_DETECTED. Die per-Opfer-Subdomain macht statisches IOC-Sharing auf URL-Ebene nahezu wertlos — sinnvoll ist das Sperren der Domain (*.oakenfjrod[.]ru), nicht einzelner Subdomains.
Stufe 4 — reflektiver .NET-Infostealer
Die Endstufe ist ein .NET-Infostealer, der als rohe Bytes im Stage-3-Skript eingebettet ist. Er wird nie auf die Platte geschrieben, nie als Modul geladen und startet keinen Kindprozess — die gesamte Ausführung läuft im bestehenden powershell.exe-Adressraum über Assembly.Load(byte[]). Das ist funktional äquivalent zu execute-assembly (Cobalt Strike), Donut oder SharpSploit, aber ohne unmanaged Loader-Stub: kein Datei-Artefakt, kein neuer Prozess, kein Image-Load-Event. Der Stealer beacont über HTTPS an 185.177.239.255:443 — laut Cyderes russische Infrastruktur — und greift nachweislich (SensitiveFileRead-Telemetrie) auf den Browser-Credential-Store zu.
Die methodische Pointe: keine einzelne Technik ist neu. Bemerkenswert ist die Stapelung — jede klassische Erkennungsfläche ist im Design adressiert — und die Zielwahl: eine rasch wachsende Population nicht-technischer Nutzer mit hoher Motivation, geringem Bedrohungsbewusstsein und einer Suchmaschine, die für einen Moment den Angreifer genau dorthin setzt, wo eine legitime Download-Seite stehen sollte.
Wer ist betroffen
| Betroffen / Risiko | Nicht betroffen / geringeres Risiko | Bedingung |
|---|---|---|
| Windows-Workstations von Erstnutzern, die Claude Code über eine Suchmaschine installieren | Nutzer, die ausschließlich über die offizielle, direkt aufgerufene Anthropic-Quelle installieren | Bezugsweg der Installation (Suchergebnis vs. bekannte offizielle URL) |
| Rechner ohne EDR / ohne Proxy-Filtering / ohne Security-Team (Einzelunternehmer, kleine Teams, BYOD) | Verwaltete Endpoints mit EDR, mshta-/PowerShell-Härtung und ausgehendem DNS-/Proxy-Filtering | Endpoint-Schutzniveau |
Windows mit aktivem mshta.exe und 32-bit-PowerShell | macOS / Linux (die Kette ist Windows-spezifisch: mshta.exe, SysWOW64-PowerShell) | Betriebssystem |
| Entwickler-/Plattform-Notebooks mit gespeicherten Browser-Credentials, Git-/Cloud-/CI-Tokens | Geräte ohne im Browser gespeicherte Zugangsdaten / mit Hardware-gebundenen Sessions | Wo Zugangsdaten liegen (Browser-Store vs. Passwortmanager/Hardware-Token) |
Der Punkt für Moselwal-Kunden: das ist keine Produkt-Schwachstelle, gegen die man patcht, sondern ein Angriff auf Menschen und ihre Workstations. Die relevante Frage ist nicht „welche Version habe ich“, sondern „wer in meinem Umfeld installiert gerade zum ersten Mal ein KI-CLI-Tool — und weiß die Person, wie eine echte Installation aussieht“.
Bedeutung für den Mittelstand
Für Ihre Entwicklungs- und Plattform-Teams verschiebt diese Kampagne dieselbe stille Annahme, die schon unser Daily-Brief vom 26. Mai markiert hat: das Entwickler-Notebook ist nicht mehr Nebenschauplatz der Unternehmens-Identität, sondern ein primärer Einstiegspunkt. Ein einzelnes kompromittiertes Notebook liefert dem Angreifer den Browser-Credential-Store — und damit potenziell Git-Zugänge, Cloud-Konsolen-Sessions, CI/CD-Tokens und alles, worauf diese Identitäten reichen. Wer einen Senior-Entwickler trifft, sitzt anschließend nah an den Produktionspfaden.
Das Besondere an dieser Kette ist, dass sie genau die Schutzschichten umgeht, auf die sich kleinere Organisationen verlassen. Dateibasiertes AV sieht ein gültiges MP3. AMSI ist nach Stufe 2 abgeschaltet. Die 32-bit-PowerShell-Wahl reduziert die EDR-Sicht. Der finale Stealer hinterlässt keine Datei und keinen neuen Prozess. Wer seine Endpoint-Sicherheit allein auf signaturbasiertes AV stützt, hat hier keine belastbare Linie — die Verteidigung muss auf Verhaltens-Telemetrie (mshta-Netzwerk, ungewöhnliche PowerShell-Starts, .NET-Assembly-Loads ohne Datei) und auf ausgehende Netzwerk-Kontrolle (DNS-/Proxy-Filtering) verlagert werden.
Compliance-seitig ist der Befund relevant, sobald ein betroffenes Gerät Zugriff auf personenbezogene Daten oder regulierte Systeme hat. DSGVO Art. 32 verlangt angemessene technische und organisatorische Maßnahmen — wozu bei der heutigen Bedrohungslage Awareness gegen Social-Engineering-Installations-Lures und eine Endpoint-Detection-Strategie über reines AV hinaus gehören; nach Art. 33/34 kann ein bestätigter Credential-Abfluss meldepflichtig werden. NIS-2 Art. 21 adressiert genau diese Achse über die Pflicht zu Risikomanagement, Awareness-Schulungen und Zugriffskontrolle; das BSI führt ClickFix-artige Social-Engineering-Lures in seinen Lagebildern. Eine Rechtseinschätzung nehmen wir nicht vor (wir sind keine Kanzlei); die konkrete Bewertung gehört zu Ihrem DSB und Ihrem Sicherheits-Verantwortlichen.
Bedeutung für die technische Entwicklung
Architektonisch und kulturell zieht der Vorfall drei Linien.
Erstens, „Befehl-in-den-Dialog-einfügen“ ist nie ein legitimer Installations-Schritt — und das gehört als harte Regel ins Team-Wissen. Kein seriöses Tool, auch Claude Code nicht, verlangt, einen Befehl in den Windows-Ausführen-Dialog zu kopieren. ClickFix lebt davon, dass Einsteiger diese Baseline nicht haben. Die billigste und wirksamste Gegenmaßnahme ist, diese eine Regel explizit zu machen — im Onboarding, in der internen Doku, in jedem „so installierst du Tool X“-Wiki-Eintrag mit der offiziellen, direkt verlinkten Quelle.
Zweitens, Detection muss vom Datei-Artefakt auf das Verhalten wandern. Diese Kette hinterlässt nach Stufe 1 keine Datei. Wer nur auf Datei-Hashes und AV-Signaturen schaut, sieht nichts. Die belastbaren Signale sind Verhaltens-Telemetrie: mshta.exe mit ausgehender HTTPS-Verbindung (in den meisten Umgebungen ohne legitimen Zweck), 32-bit-PowerShell aus einem per-COM-registrierten geplanten Task, .NET-Assembly-Loads aus PowerShell ohne zugehörige Datei (über ETW sichtbar), und DNS-Queries auf die Stealer-Domain. Das ist ein Lehrstück dafür, warum moderne Endpoint-Verteidigung auf Verhalten und nicht auf Artefakte setzt.
Drittens, Identität ist die eigentliche Beute, nicht die Maschine. Das Ziel ist der Browser-Credential-Store, nicht das Notebook. Die strukturelle Konsequenz ist, Zugangsdaten gar nicht erst angreifbar im Browser liegen zu lassen: Hardware-gebundene Sessions (Passkeys/FIDO2), kurzlebige OAuth-Tokens mit Rotation, ein Passwortmanager statt Browser-Speicher, Phishing-resistente MFA. Wer diese Schicht hat, reduziert den Schaden eines kompromittierten Endpoints von „Identitäts-Übernahme“ auf „ein Gerät neu aufsetzen“.
Konkrete Handlungsempfehlung
Operational Decision Block
- Sofort handeln (Incident), wenn: eine Person berichtet, eine Claude-Code-Install-Seite habe sie aufgefordert, einen Befehl in den Ausführen-Dialog (Win+R) zu kopieren — das ist laut Cyderes als wahrscheinliches Infektions-Ereignis zu behandeln, nicht als gescheiterte Installation. Gerät isolieren, Credentials rotieren.
- Detection scharf stellen (Prävention), wenn: Sie verwaltete Windows-Endpoints betreiben — die unten genannten Verhaltens-Signale als Alerts einrichten,
*.oakenfjrod[.]ruper DNS sperren. - Awareness genügt (Restklasse), wenn: Ihre Belegschaft ausschließlich macOS/Linux nutzt oder kein KI-CLI-Tooling installiert — dann ist die unmittelbare Exposition gering; die ClickFix-Regel gehört trotzdem ins Onboarding, weil die Technik markenunabhängig wiederverwendet wird.
In dieser Reihenfolge. Erstens, Awareness als Sofortmaßnahme: die Regel „Claude Code (und jedes andere Tool) installiert man nie durch Einfügen eines Befehls in den Windows-Ausführen-Dialog“ in Onboarding und interne Doku aufnehmen, mit der offiziellen, direkt verlinkten Bezugsquelle. Zweitens, Detection einrichten (verwaltete Endpoints):
# Verhaltens-Signale (EDR/SIEM-Regeln, sinngemäß):
# 1. mshta.exe mit ausgehender Netzwerkverbindung -> Alert (MITRE T1218.005)
# 2. 32-bit PowerShell (SysWOW64\...\powershell.exe) aus einem per COM registrierten Scheduled Task -> Alert (T1059.001, T1053)
# 3. .NET Assembly-Load aus PowerShell ohne Datei auf Disk (ETW) -> Alert (T1620)
# 4. DNS-Query auf *.oakenfjrod[.]ru -> Block + Alert (T1568)
# 5. Ausgehende Verbindung zu 185.177.239.255:443 -> Block + Alert
Drittens, Netzwerk-/DNS-Sperren: Wildcard-Block auf *.oakenfjrod[.]ru sowie Block der Lieferketten-Domain download.version-516[.]com und der C2-IP 185.177.239.255 (mit dem Hinweis, dass der Operator die Infrastruktur laut Cyderes rotiert — Domain-Wildcard ist robuster als Einzel-IOCs). Viertens, Incident-Response bei Verdacht: betroffenes Gerät als kompromittiert behandeln (neu aufsetzen, nicht „bereinigen“), alle im Browser gespeicherten Passwörter und Sessions als geleakt annehmen, OAuth-Tokens (GitHub, Cloud, CI/CD) widerrufen und neu ausstellen, MFA-Faktoren prüfen. Fünftens, mittelfristig härten: Browser-Credential-Storage zugunsten eines Passwortmanagers abschalten, Passkeys/FIDO2 für die kritischen Zugänge, kurzlebige Tokens mit Rotation, und auf nicht verwalteten Geräten zumindest ein ausgehendes DNS-Filtering etablieren.
Wenn diese Schritte aus eigener Kraft nicht laufen, sprechen Sie mit uns: Moselwal richtet Detection für Entwickler-Workstations ein, härtet Identitäts- und Token-Schichten und begleitet die Incident-Response bei Verdacht auf Credential-Abfluss — Plattformbetrieb statt Beratung-on-paper.
Dieser Beitrag spiegelt unsere technische und strategische Einschätzung. Er ersetzt keine Rechtsberatung und keine Datenschutz-Folgenabschätzung.
Fazit
Diese Kampagne ist technisch kein Durchbruch — jede einzelne Technik ist bekannt — und gerade deshalb lehrreich: Sie zeigt, wie ein Angreifer durch saubere Stapelung bekannter Bausteine eine Kette baut, die an dateibasiertem AV, AMSI, DNS-Reputation und Image-Load-Monitoring vorbeiläuft, und sie auf die wachsende Gruppe der KI-Tool-Einsteiger richtet, die am wenigsten Schutz hat. Für den Mittelstand ist die Lehre zweifach: erstens die billige, wirksame Awareness-Regel (kein Tool installiert sich über einen Befehl im Ausführen-Dialog), zweitens die Verschiebung der Verteidigung vom Datei-Artefakt zum Verhalten und zur Identität. Anthropic ist nicht das Leck — der ungeschützte Erst-Installations-Moment ist es. Risiko nüchtern: hoch für ungeschützte Windows-Workstations von Einsteigern, gering für gehärtete, verwaltete Umgebungen — und die Awareness-Regel kostet nichts.
Quellen
- Cyderes Howler Cell — „Bad Ads, Worse Binaries: Fake Claude Code Installer Drops Infostealer“ (Reegun Jayapaul, Sheik Mohamed, 28.05.2026; inkl. IOCs und MITRE-ATT&CK-Mapping)
- Hackread — „Fake Anthropic Sites Deliver Fileless Infostealer to Claude Code Users“ (Deeba Ahmed, 30.05.2026, Sekundär-Aufbereitung)
- MITRE ATT&CK — T1204.003 User Execution: Malicious Link / ClickFix (Kontext)
