PamStealer: Neue, heimtückische macOS-Malware, die sich als Zwischenablage-Manager tarnt, zielt auf Benutzeranmeldeinformationen ab

Erfahren Sie mehr über PamStealer, eine neue macOS-Malware, die sich als Maccy-Zwischenablage-Manager ausgibt, um Passwörter und Kryptoschlüssel zu stehlen. Entdecken Sie ihre Funktionsweise und wie Sie sich schützen können.

A
Staff Writer
Veröffentlicht am 03/07/2026 13:35
PamStealer: Neue, heimtückische macOS-Malware, die sich als Zwischenablage-Manager tarnt, zielt auf Benutzeranmeldeinformationen ab

Der Aufstieg ausgeklügelter macOS-Infostealer

Jahrelang genossen Mac-Nutzer im Vergleich zu Windows-Nutzern ein Gefühl relativer Sicherheit. Doch diese Lücke schließt sich rasant, da Cyberkriminelle immer gezieltere und ausgefeiltere Tools entwickeln. Die neueste Bedrohung, die von Sicherheitsforschern bei Jamf identifiziert wurde, ist eine Malware namens PamStealer. Dieser Infostealer nutzt eine clevere Kombination aus Social Engineering und nativen macOS-Systemtools, um Sicherheitswarnungen zu umgehen und sensible Anmeldeinformationen zu stehlen.

Wie PamStealer Nutzer täuscht

PamStealer tritt nicht als offensichtlicher Virus auf, sondern als gefälschte Version einer beliebten, legitimen Produktivitäts-App namens Maccy – einem schlanken Zwischenablage-Manager. Indem die Malware sich als vertrauenswürdiges Programm ausgibt, verleitet sie Benutzer dazu, sie von einer betrügerischen Domain herunterzuladen und zu installieren.

Der zweistufige Infektionsprozess

Die Malware nutzt eine mehrstufige Ausführungskette, die entwickelt wurde, um von herkömmlicher Antivirensoftware nicht erkannt zu werden:

  • Stufe 1: Der AppleScript-Einstieg: Die Malware gelangt über ein Disk-Image auf den Computer. Nach dem Öffnen werden Benutzer aufgefordert, ein AppleScript auszuführen. Dadurch umgeht PamStealer erfolgreich com.apple.quarantine, die native macOS-Sicherheitsfunktion, die normalerweise ausführbare Dateien aus dem Internet kennzeichnet und einschränkt.
  • Stufe 2: Die Rust-basierte Payload: Sobald das Skript aktiv ist, verwendet es einen JavaScript for Automation (JXA)-Downloader, um eine Payload der zweiten Stufe abzurufen. Diese Payload ist eine in Rust geschriebene Mach-O-Datei, die speziell für Apple-M-Prozessoren optimiert ist. Die Verwendung von Rust ist besonders bemerkenswert, da sie für gängige macOS-Stealer ungewöhnlich ist, wodurch die Malware für einige Sicherheitstools schwerer zu erkennen ist.

Stehlen von Anmeldeinformationen über PAM

Was PamStealer von einfacher Malware unterscheidet, ist die Verwendung der Pluggable Authentication Modules (PAM)-Schnittstelle. Anstatt offensichtliche Shell-Befehle wie curl oder zsh zu verwenden, die oft Sicherheitswarnungen auslösen, zeigt PamStealer eine nativ aussehende macOS-Passwortabfrage an.

Die Abfrage lautet typischerweise: Maccy möchte Änderungen vornehmen. Geben Sie Ihr Passwort ein, um dies zu erlauben." Wenn der ahnungslose Benutzer sein Administratorpasswort eingibt, validiert die Malware die Anmeldeinformationen lokal über die PAM-API. Dies ermöglicht es Angreifern, entweder vollen Festplattenzugriff zu erlangen oder Schadcode einzuschleusen, um gezielt bestimmte Vermögenswerte wie Ethereum-Kryptowährungskonten anzugreifen.

So schützen Sie Ihren Mac vor PamStealer

Obwohl macOS über integrierte Schutzmechanismen wie XProtect verfügt, bleibt der Mensch die größte Schwachstelle. Hier sind die besten Vorgehensweisen, um Ihr Gerät zu schützen:

1. Überprüfen Sie die Softwarequellen

Laden Sie Software immer nur von offiziellen Websites herunter. Im Fall von Maccy ist die einzige legitime Website maccy.app. Seien Sie vorsichtig bei ähnlich aussehenden URLs wie maccyapp.com, die zum Hosten der Schadsoftware verwendet wurden.

2. Priorisieren Sie den App Store

Laden Sie Anwendungen nach Möglichkeit direkt aus dem Apple App Store herunter. Da Apple Apps vor der Veröffentlichung prüft, ist das Risiko, einen Infostealer zu installieren, im Vergleich zum Herunterladen zufälliger .dmg-Dateien aus dem Internet deutlich geringer.

3. Seien Sie skeptisch bei unerwarteten Passwortabfragen

Wenn eine gerade installierte Anwendung plötzlich ohne ersichtlichen Grund nach Ihrem Administratorpasswort fragt, um „Änderungen vorzunehmen“, sollten Sie die Installation abbrechen und nachforschen. Hochwertige Software erklärt in der Regel genau, warum erhöhte Berechtigungen erforderlich sind.

4. Setzen Sie auf mehrstufige Sicherheit

XProtect ist zwar eine gute Basis, aber eine seriöse Antiviren-Lösung eines Drittanbieters kann eine zusätzliche Ebene der heuristischen Analyse bieten, um Zero-Day-Bedrohungen wie PamStealer zu erkennen, bevor sie ausgeführt werden.

Ähnliche Beiträge