PamStealer: macOS-Infostealer imitiert Maccy-Zwischenablage-Tool

Jamf Threat Labs hat einen neuartigen Infostealer für macOS identifiziert, der gezielt nach der bekannten Zwischenablagen-App Maccy sucht. Statt technischer Exploits setzt die Malware auf soziale Manipulation: Sie präsentiert sich als gefälschte Version des beliebten Tools und lockt Nutzer über eine täuschende Download-Seite auf ihr System. Sobald die Opfer den falschen Link folgen, beginnt ein mehrstufiger Prozess, der die Sicherheitsmechanismen des Betriebssystems aktiv umgeht.
Die Analyse zeigt, dass die Angreifer besonders raffinierte Methoden einsetzen, um die macOS-Quarantäne auszuschalten und anschließend tief in die Nutzerdaten einzudringen. Der Schädling nutzt dabei die Pluggable Authentication Modules des Systems, um eingegebene Passwörter lokal zu verifizieren, bevor er die gestohlenen Informationen an die Kommandozentrale sendet.
Gefälschte Download-Seite und manipuliertes Disk-Image
Der erste Schritt der Attacke erfolgt über eine täuschend echte Website, die nur minimal von der offiziellen Entwicklerseite von Maccy abweicht. Wer hier auf den Download-Button klickt, erhält kein installierbares Programm, sondern ein manipuliertes Disk-Image. Innerhalb dieser Datei verbirgt sich keine funktionierende Anwendung, sondern eine kompilierte Skript-Datei, die für unerfahrene Anwender zunächst harmlos wirkt.
Diese Taktik des Typosquatting nutzt die Gewohnheit der Nutzer aus, die nach dem Namen des gesuchten Tools suchen. Die gefälschte Domain ist so gestaltet, dass sie im ersten Moment nicht als Betrug zu erkennen ist. Viele Mac-Besitzer vertrauen darauf, dass sie die richtige Seite gefunden haben, und fahren mit dem Download fort.
Manuelle Quarantäne-Umgehung über Skript-Editor
Um die strengen Sicherheitsvorkehrungen von macOS zu durchbrechen, zwingt die Malware die Opfer zu einer aktiven Mitwirkung. Ein mitgeliefertes Textdokument gibt scheinbar neutrale Installationsanweisungen, die jedoch zu einer kritischen Aktion führen. Die Nutzer werden aufgefordert, die Datei mit dem vorinstallierten Skript-Editor zu öffnen und anschließend die Tastenkombination Command plus R zu drücken.
Durch diese manuelle Ausführung im Skript-Editor wird die automatische Quarantäne-Prüfung von Apple vollständig umgangen. Im Hintergrund startet daraufhin die eigentliche Schadsoftware, die ein weiteres Modul in der Programmiersprache Rust nachlädt. Dieses nachgeladene Programm tarnt sich anschließend als legitimer Systemdienst, etwa als Datei-Explorer oder Aktualisierungs-Assistent, um unbemerkt im Hintergrund zu arbeiten.
Lokale Passwort-Validierung und Datendiebstahl
Das Kernstück der Attacke basiert auf der cleveren Ausnutzung der Pluggable Authentication Modules von macOS. Der Schädling greift auf diese internen Authentifizierungssysteme zu, um eingegebene Zugangsdaten sofort lokal zu prüfen. Anstatt Passwörter blind an die Server der Angreifer zu senden, nutzt er täuschend echte Anmeldefenster, um die Nutzer zur Eingabe ihres Account-Kennworts zu bewegen.
Erst wenn das System bestätigt, dass das eingegebene Passwort korrekt ist, setzt der Infostealer den Diebstahl der sensiblen Informationen in Gang. Die an die Angreifer übermittelten Daten umfassen ein breites Spektrum höchstprivater Informationen:
- Das verifizierte Hauptpasswort des Benutzers
- Gespeicherte Logins und Cookies aus installierten Browsern
- Zugangsdaten und private Schlüssel von Krypto-Wallets
- Den vollständigen iCloud-Schlüsselbund
- Den aktuellen Inhalt der System-Zwischenablage
Experten empfehlen dringend, die legitime App nur über vertrauenswürdige Kanäle wie den Mac App Store oder das offizielle GitHub-Repository zu installieren, um einer Infektion vorzubeugen.
Das könnte dich auch interessieren
Weitere Geschichten aus Mac News.

macOS 27 Beta 3: Design-Korrekturen und erweiterte Siri AI
Apple hat den dritten Testlauf von macOS 27 Golden Gate veröffentlicht. Der Fokus liegt auf optischen Feinanpassungen am Liquid-Glass-Design sowie einem Ausbau der visuellen KI-Funktionen von Siri.

iOS 27: Trust Insights soll Social Engineering auf dem iPhone erkennen
Mit iOS 27 führt Apple Trust Insights ein, ein Framework, das Apps dabei unterstützt, Social-Engineering-Angriffe zu erkennen. Die Analyse läuft lokal auf dem Gerät und gibt dabei sensibel mit den Daten der Nutzer um.

Apple aktualisiert Support-Anleitungen für gestohlene iPhones
Apple hat seine offiziellen Anleitungen für den Fall eines Diebstahls überarbeitet. Besonders die Warnung vor Kontaktinfos auf dem Sperrbildschirm und neue Hinweise zum Verlustmodus sind relevant für Betroffene.

Blink Outdoor 4 mit Videotürklingel und Sync-Modul für unter 25 Euro, statt 134,98 Euro
Das komplette Blink-Sicherheitspaket mit Outdoor-Kamera, Videotürklingel und Hub kostet aktuell nur 24,99 Euro statt 134,98 Euro. Der massive Rabatt bei Amazon gilt nur bis Freitagabend.

Apple bringt zweite Developer-Beta für macOS 26.6 und weitere Systeme
Eine Woche nach der WWDC-Keynote rollt Apple die zweite Developer-Beta für die aktuelle Betriebssystem-Generation aus. Der Fokus liegt auf Stabilität und Fehlerbehebungen, während parallel die ersten Betas der 27er-Serie getestet werden.

macOS Golden Gate: Rosetta 2 endet, Apple warnt vor Intel-Apps
Apple verschärft in macOS 27 Golden Gate die Warnungen zum Auslauf von Rosetta 2. Eine neue Systemübersicht zeigt, welche Intel-Apps in macOS 28 ausfallen werden.
Kommentare
Sei der Erste, der hier kommentiert.
Du musst angemeldet sein, um zu kommentieren.