Neuer InfoStealer enttarnt
Gefälschte Maccy-App als Einfallstor für Mac-Malware
Mit PamStealer wurde eine neue Schadsoftware für macOS entdeckt, die sich als der bekannte Zwischenablage-Manager Maccy ausgibt. Nach Angaben der Sicherheitsforscher von Jamf handelt es sich um einen klassischen „Infostealer“, der möglichst unauffällig Zugangsdaten und weitere vertrauliche Informationen auslesen soll.
Die Malware verbreitet sich laut Jamf über eine gefälschte Download-Seite für die Maccy-App. Nach der Installation soll zunächst ein Programm aktiv werden, das unter anderem Browserdaten und Inhalte der Zwischenablage ausliest. Außerdem versuche die Schadsoftware, dauerhaft auf dem System aktiv zu bleiben.
Bilder: JAMF
Täuschend echter Passwortdialog
Anders als viele bekannte Infostealer verzichtet PamStealer den Sicherheitsforschern zufolge in dieser ersten Phase auf auffällige Shell-Befehle. Stattdessen werde der eigentliche Schadcode erst später nachgeladen. Für die Autorisierung nutzt die Malware einen täuschend echten Passwortdialog. Das eingegebene Kennwort wird dann zunächst lokal über Apples Authentifizierungssystem PAM geprüft und nur dann weiterverwendet beziehungsweise an die Angreifer übermittelt, wenn es korrekt ist. Aufgrund dieser Vorgehensweise wurde der Name der Schadsoftware gewählt.
PamStealer versucht offenbar auch, Nutzer zur Freigabe des erweiterten Festplattenzugriffs zu bewegen. Dadurch kann die Malware auf weitere geschützte Daten zugreifen. Im Programmcode haben die Sicherheitsforscher zudem Funktionen entdeckt, die auf das Auslesen von Kryptowährungs-Wallets hindeuten.
Bekannte Techniken kombiniert
Nach Einschätzung der Sicherheitsforscher nutzt PamStealer überwiegend reguläre Funktionen von macOS und keine bekannte Sicherheitslücke. Dadurch soll die Schadsoftware unauffälliger arbeiten als viele klassische Infostealer. Für sich genommen würden die einzelnen Aktionen oft nicht verdächtig wirken, ihre Kombination könne jedoch dazu dienen, herkömmliche Erkennungsmuster zu umgehen.
Als wichtigste Schutzmaßnahme für Anwender bleibt die Empfehlung, Programme ausschließlich aus vertrauenswürdigen Quellen zu beziehen und ungewöhnliche Installationsanweisungen kritisch zu hinterfragen. Besondere Vorsicht ist stets geboten, wenn Anwendungen verlangen, AppleScript-Dateien manuell auszuführen oder zusätzliche Zugriffsrechte zu vergeben.


Hab schon Panik gehabt. Habe die Anwendung zum Glück im App Store gekauft.
Was ist das denn für ein Müll! Da kann sich jede Software über die PAM-Funktion das User Passwort verifizieren? Falls das überhaupt nötige ist, hätte ich erwartet, dass externe Software eine Systemanfrage stellen muss, und als Rückmeldung nur erfährt „ja, User hat sich authentifiziert, oder nein, User Authentifizierung gescheitert“. Aber wenn jede Software auf die PAM-Funtion zugreifen kann, kann man doch gleich eine Bruteforce-Attacke programmieren.
Wenn man das schon ewig installiert hat, wie findet man hrraus ob man betroffen ist?
Es ist neu – also das Gegenteil von ewig