Mac News · Sicherheit

PamStealer: macOS-Infostealer imitiert Maccy-Zwischenablage-Tool

Sicherheitsforscher von Jamf warnen vor einer neuen Mac-Malware, die sich als Zwischenablagen-Manager tarnt. Die Schadsoftware umgeht die Quarantäne durch manuelle Skript-Ausführung und stiehlt danach Passwörter, Browser-Daten und Krypto-Wallets.
A
AppTickerTeam
Vor 10 Std3 Min. Lesezeit
PamStealer: macOS-Infostealer imitiert Maccy-Zwischenablage-Tool
Banner-Werbung
Leaderboard · 970 × 250 / 728 × 90

Jamf Threat Labs hat einen neuartigen Infostealer für macOS identifiziert, der gezielt nach der bekannten Zwischenablagen-App Maccy sucht. Statt technischer Exploits setzt die Malware auf soziale Manipulation: Sie präsentiert sich als gefälschte Version des beliebten Tools und lockt Nutzer über eine täuschende Download-Seite auf ihr System. Sobald die Opfer den falschen Link folgen, beginnt ein mehrstufiger Prozess, der die Sicherheitsmechanismen des Betriebssystems aktiv umgeht.

Die Analyse zeigt, dass die Angreifer besonders raffinierte Methoden einsetzen, um die macOS-Quarantäne auszuschalten und anschließend tief in die Nutzerdaten einzudringen. Der Schädling nutzt dabei die Pluggable Authentication Modules des Systems, um eingegebene Passwörter lokal zu verifizieren, bevor er die gestohlenen Informationen an die Kommandozentrale sendet.

Gefälschte Download-Seite und manipuliertes Disk-Image

Der erste Schritt der Attacke erfolgt über eine täuschend echte Website, die nur minimal von der offiziellen Entwicklerseite von Maccy abweicht. Wer hier auf den Download-Button klickt, erhält kein installierbares Programm, sondern ein manipuliertes Disk-Image. Innerhalb dieser Datei verbirgt sich keine funktionierende Anwendung, sondern eine kompilierte Skript-Datei, die für unerfahrene Anwender zunächst harmlos wirkt.

Diese Taktik des Typosquatting nutzt die Gewohnheit der Nutzer aus, die nach dem Namen des gesuchten Tools suchen. Die gefälschte Domain ist so gestaltet, dass sie im ersten Moment nicht als Betrug zu erkennen ist. Viele Mac-Besitzer vertrauen darauf, dass sie die richtige Seite gefunden haben, und fahren mit dem Download fort.

Manuelle Quarantäne-Umgehung über Skript-Editor

Um die strengen Sicherheitsvorkehrungen von macOS zu durchbrechen, zwingt die Malware die Opfer zu einer aktiven Mitwirkung. Ein mitgeliefertes Textdokument gibt scheinbar neutrale Installationsanweisungen, die jedoch zu einer kritischen Aktion führen. Die Nutzer werden aufgefordert, die Datei mit dem vorinstallierten Skript-Editor zu öffnen und anschließend die Tastenkombination Command plus R zu drücken.

Durch diese manuelle Ausführung im Skript-Editor wird die automatische Quarantäne-Prüfung von Apple vollständig umgangen. Im Hintergrund startet daraufhin die eigentliche Schadsoftware, die ein weiteres Modul in der Programmiersprache Rust nachlädt. Dieses nachgeladene Programm tarnt sich anschließend als legitimer Systemdienst, etwa als Datei-Explorer oder Aktualisierungs-Assistent, um unbemerkt im Hintergrund zu arbeiten.

Lokale Passwort-Validierung und Datendiebstahl

Das Kernstück der Attacke basiert auf der cleveren Ausnutzung der Pluggable Authentication Modules von macOS. Der Schädling greift auf diese internen Authentifizierungssysteme zu, um eingegebene Zugangsdaten sofort lokal zu prüfen. Anstatt Passwörter blind an die Server der Angreifer zu senden, nutzt er täuschend echte Anmeldefenster, um die Nutzer zur Eingabe ihres Account-Kennworts zu bewegen.

Erst wenn das System bestätigt, dass das eingegebene Passwort korrekt ist, setzt der Infostealer den Diebstahl der sensiblen Informationen in Gang. Die an die Angreifer übermittelten Daten umfassen ein breites Spektrum höchstprivater Informationen:

  • Das verifizierte Hauptpasswort des Benutzers
  • Gespeicherte Logins und Cookies aus installierten Browsern
  • Zugangsdaten und private Schlüssel von Krypto-Wallets
  • Den vollständigen iCloud-Schlüsselbund
  • Den aktuellen Inhalt der System-Zwischenablage

Experten empfehlen dringend, die legitime App nur über vertrauenswürdige Kanäle wie den Mac App Store oder das offizielle GitHub-Repository zu installieren, um einer Infektion vorzubeugen.

Banner-Werbung
Inline · Billboard 970 × 250

Das könnte dich auch interessieren

Weitere Geschichten aus Mac News.

Alle Mac News →
macOS 27 Beta 3: Design-Korrekturen und erweiterte Siri AI
Mac News

macOS 27 Beta 3: Design-Korrekturen und erweiterte Siri AI

Apple hat den dritten Testlauf von macOS 27 Golden Gate veröffentlicht. Der Fokus liegt auf optischen Feinanpassungen am Liquid-Glass-Design sowie einem Ausbau der visuellen KI-Funktionen von Siri.

Gestern3 Min
iOS 27: Trust Insights soll Social Engineering auf dem iPhone erkennen
iOS

iOS 27: Trust Insights soll Social Engineering auf dem iPhone erkennen

Mit iOS 27 führt Apple Trust Insights ein, ein Framework, das Apps dabei unterstützt, Social-Engineering-Angriffe zu erkennen. Die Analyse läuft lokal auf dem Gerät und gibt dabei sensibel mit den Daten der Nutzer um.

Vor 4 Tagen3 Min
Apple aktualisiert Support-Anleitungen für gestohlene iPhones
Smartphone

Apple aktualisiert Support-Anleitungen für gestohlene iPhones

Apple hat seine offiziellen Anleitungen für den Fall eines Diebstahls überarbeitet. Besonders die Warnung vor Kontaktinfos auf dem Sperrbildschirm und neue Hinweise zum Verlustmodus sind relevant für Betroffene.

24.06.20263 Min
Blink Outdoor 4 mit Videotürklingel und Sync-Modul für unter 25 Euro, statt 134,98 Euro
Schnäppchen

Blink Outdoor 4 mit Videotürklingel und Sync-Modul für unter 25 Euro, statt 134,98 Euro

Das komplette Blink-Sicherheitspaket mit Outdoor-Kamera, Videotürklingel und Hub kostet aktuell nur 24,99 Euro statt 134,98 Euro. Der massive Rabatt bei Amazon gilt nur bis Freitagabend.

16.06.20264 Min
Apple bringt zweite Developer-Beta für macOS 26.6 und weitere Systeme
Mac News

Apple bringt zweite Developer-Beta für macOS 26.6 und weitere Systeme

Eine Woche nach der WWDC-Keynote rollt Apple die zweite Developer-Beta für die aktuelle Betriebssystem-Generation aus. Der Fokus liegt auf Stabilität und Fehlerbehebungen, während parallel die ersten Betas der 27er-Serie getestet werden.

15.06.20263 Min
macOS Golden Gate: Rosetta 2 endet, Apple warnt vor Intel-Apps
Mac News

macOS Golden Gate: Rosetta 2 endet, Apple warnt vor Intel-Apps

Apple verschärft in macOS 27 Golden Gate die Warnungen zum Auslauf von Rosetta 2. Eine neue Systemübersicht zeigt, welche Intel-Apps in macOS 28 ausfallen werden.

13.06.20264 Min

Kommentare

Sei der Erste, der hier kommentiert.

Du musst angemeldet sein, um zu kommentieren.

News & Schnäppchen — jeden Freitag in deiner Inbox.

Die wichtigsten App-News und besten Deals der Woche, kuratiert von der Redaktion. Kein Spam.