ifun.de — Apple News seit 2001. 46 635 Artikel

Neuer InfoStealer enttarnt

Gefälschte Maccy-App als Einfallstor für Mac-Malware

Artikel auf Mastodon teilen.
4 Kommentare 4

Mit PamStealer wurde eine neue Schadsoftware für macOS entdeckt, die sich als der bekannte Zwischenablage-Manager Maccy ausgibt. Nach Angaben der Sicherheitsforscher von Jamf handelt es sich um einen klassischen „Infostealer“, der möglichst unauffällig Zugangsdaten und weitere vertrauliche Informationen auslesen soll.

Die Malware verbreitet sich laut Jamf über eine gefälschte Download-Seite für die Maccy-App. Nach der Installation soll zunächst ein Programm aktiv werden, das unter anderem Browserdaten und Inhalte der Zwischenablage ausliest. Außerdem versuche die Schadsoftware, dauerhaft auf dem System aktiv zu bleiben.

Mac Malware Maccy 1

Bilder: JAMF

Täuschend echter Passwortdialog

Anders als viele bekannte Infostealer verzichtet PamStealer den Sicherheitsforschern zufolge in dieser ersten Phase auf auffällige Shell-Befehle. Stattdessen werde der eigentliche Schadcode erst später nachgeladen. Für die Autorisierung nutzt die Malware einen täuschend echten Passwortdialog. Das eingegebene Kennwort wird dann zunächst lokal über Apples Authentifizierungssystem PAM geprüft und nur dann weiterverwendet beziehungsweise an die Angreifer übermittelt, wenn es korrekt ist. Aufgrund dieser Vorgehensweise wurde der Name der Schadsoftware gewählt.

PamStealer versucht offenbar auch, Nutzer zur Freigabe des erweiterten Festplattenzugriffs zu bewegen. Dadurch kann die Malware auf weitere geschützte Daten zugreifen. Im Programmcode haben die Sicherheitsforscher zudem Funktionen entdeckt, die auf das Auslesen von Kryptowährungs-Wallets hindeuten.

Mac Malware Maccy 2

Bekannte Techniken kombiniert

Nach Einschätzung der Sicherheitsforscher nutzt PamStealer überwiegend reguläre Funktionen von macOS und keine bekannte Sicherheitslücke. Dadurch soll die Schadsoftware unauffälliger arbeiten als viele klassische Infostealer. Für sich genommen würden die einzelnen Aktionen oft nicht verdächtig wirken, ihre Kombination könne jedoch dazu dienen, herkömmliche Erkennungsmuster zu umgehen.

Als wichtigste Schutzmaßnahme für Anwender bleibt die Empfehlung, Programme ausschließlich aus vertrauenswürdigen Quellen zu beziehen und ungewöhnliche Installationsanweisungen kritisch zu hinterfragen. Besondere Vorsicht ist stets geboten, wenn Anwendungen verlangen, AppleScript-Dateien manuell auszuführen oder zusätzliche Zugriffsrechte zu vergeben.

10. Juli 2026 um 07:37 Uhr von Chris Fehler gefunden?


    4 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Hab schon Panik gehabt. Habe die Anwendung zum Glück im App Store gekauft.

  • Was ist das denn für ein Müll! Da kann sich jede Software über die PAM-Funktion das User Passwort verifizieren? Falls das überhaupt nötige ist, hätte ich erwartet, dass externe Software eine Systemanfrage stellen muss, und als Rückmeldung nur erfährt „ja, User hat sich authentifiziert, oder nein, User Authentifizierung gescheitert“. Aber wenn jede Software auf die PAM-Funtion zugreifen kann, kann man doch gleich eine Bruteforce-Attacke programmieren.

  • Wenn man das schon ewig installiert hat, wie findet man hrraus ob man betroffen ist?

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 46635 Artikel in den vergangenen 9026 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2026 aketo GmbH   ·   Impressum   ·      ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven