Warnung vor neuem Malware auf macOS, das Kryptowährungs-Wallets leeren will
- Apple-Nutzer, die Kryptowährungen speichern oder verwalten, sehen sich einer neuen Cyberbedrohung gegenüber. Forscher von Jamf Threat Labs, dem Cybersecurity-Forschungsteam, haben eine Kampagne entdeckt, die eine gefälschte Version der Open-Source-Anwendung Maccy verbreitet, um PamStealer zu installieren, eine Malware, die darauf ausgelegt ist, Passwörter, Anmeldeinformationen und Schlüssel von Kryptowährungs-Wallets zu stehlen.
Laut dem Bericht der Firma nutzen die Angreifer eine Website, die die offizielle von Maccy, einem kostenlosen Clipboard-Manager für macOS, imitiert, um die Opfer zu überzeugen, ein bösartiges Disk-Image herunterzuladen. Beim Öffnen der Datei werden Anweisungen angezeigt, um sie über den Apple Script Editor auszuführen, während der bösartige Code verborgen bleibt, der die Infektion einleitet.
Sobald die Malware im System ist, überprüft sie das Anmeldepasswort des Benutzers über die Pluggable Authentication Modules (PAM) von macOS. Anschließend lädt sie eine zweite Payload herunter, die mit nativen Tools des Betriebssystems entwickelt wurde, eine Technik, die es ihr ermöglicht, die Wahrscheinlichkeit zu verringern, von Sicherheitsprogrammen erkannt zu werden.
Die Malware generiert auch einen Schlüssel aus Informationen des Geräts, wie der Prozessorarchitektur, der Regionseinstellung, der Tastaturbelegung und der Zeitzone. Mit diesem Schlüssel entschlüsselt sie eine verschlüsselte Konfiguration, die die notwendigen Anweisungen für den weiteren Angriff enthält.
Wenn die Infektion erfolgreich ist, kann die Malware Passwörter aus den Browsern, Daten aus dem macOS-Schlüsselbund, Informationen, die in die Zwischenablage kopiert wurden, und Anmeldeinformationen im Zusammenhang mit Kryptowährungs-Wallets stehlen. Darüber hinaus stellt sie Persistenz auf dem Gerät her und sendet die gestohlenen Daten über verschlüsselte Kommunikation an einen Remote-Server.
Im Rahmen des Angriffs zeigt das Programm auch ein gefälschtes Fenster in einem Datei-Explorer an, das um vollständigen Zugriff auf die Festplatte bittet. Besonders ist, dass diese Aufforderung bis zu 40 Minuten nach der Installation erscheinen kann, was es dem Benutzer erschwert, die Anfrage mit dem ursprünglichen Download in Verbindung zu bringen. Wenn er die Erlaubnis erteilt, erhält die Malware Zugriff auf geschützte Informationen, einschließlich E-Mails, Nachrichten und Time Machine-Backups.
Die Firma erklärte, dass solche Kampagnen hauptsächlich von sozialer Ingenieurskunst abhängen. Laut Jaron Bradley, dem Direktor von Jamf Threat Labs, kaufen Cyberkriminelle Anzeigen auf Plattformen wie Google Ads und X, um Benutzer auf gefälschte Seiten zu lenken, die legitime Anwendungen vorgeben anzubieten. Das Unternehmen fügte hinzu, dass es kürzlich eine weitere gesponserte Anzeige auf X entdeckt hat, die eine Variante der Malware Atomic Stealer über ein verifiziertes Konto verbreitete, was die Glaubwürdigkeit des Betrugs erhöhte.
Obwohl das Unternehmen angab, dass es bisher keine Beweise dafür gefunden hat, dass PamStealer aktiv genutzt wird, hat es Apple bereits über seine Erkenntnisse informiert. Bislang hat das Unternehmen keine öffentlichen Kommentare zu dem Fall abgegeben.
Die Forscher kommen zu dem Schluss, dass diese Kampagne einen wachsenden Trend unter Cyberkriminellen widerspiegelt: Malware als legitime Software zu tarnen und vertrauenswürdige Plattformen zur Verbreitung zu nutzen. Ein Bericht des Forschungsunternehmens TRM Labs stellte fest, dass es im Jahr 2026 einen Anstieg der Angriffe gab, mit Gesamtschäden von 972 Millionen USD, wie CriptoNoticias berichtete.
Für Kryptowährungsnutzer stellen diese Bedrohungen ein erhebliches Risiko dar, da der Diebstahl von Anmeldeinformationen oder Schlüsseln eines Wallets zu einem irreversiblen Verlust digitaler Gelder führen kann.
