Sicherheitsforscher von Jamf Threat Labs haben eine hochentwickelte macOS-Schadsoftware namens PamStealer identifiziert, die sich als das legitime Open-Source-Tool „Maccy“ ausgibt, um Systeme zu infiltrieren, Zugangsdaten abzugreifen und sensible Informationen zu exfiltrieren – und dabei viele gängige Erkennungsmethoden umgeht.

Die Malware PamStealer verdankt ihren Namen einem besonders auffälligen Verhalten: Statt einfach alles aufzuzeichnen, was ein Opfer eintippt, validiert PamStealer das gestohlene Passwort in Echtzeit über Apples eigenes System zur Authentifizierung, die Pluggable Authentication Modules (PAM) – dasselbe System, das macOS selbst zur Anmeldeprüfung nutzt. Erst wenn das eingegebene Passwort als korrekt bestätigt wurde, fährt die Malware fort; fehlgeschlagene Versuche werden verworfen und die Eingabe erneut angefordert.

Die Verbreitung beginnt mit einem Disk-Image auf einer gefälschten Website, maccyapp[.]com, die dem echten Maccy-Projekt nachempfunden ist. Darin befindet sich eine Datei namens Maccy.scpt – ein kompiliertes AppleScript, das automatisch im integrierten Script Editor von Apple geöffnet wird. Der Lockvogel-Text fordert das Opfer auf, Cmd+R zu drücken oder auf „Run“ zu klicken – eine einfache Anweisung, die die gesamte Infektionskette auslöst. Bemerkenswert: Diese Technik funktioniert selbst bei Dateien, die noch das Apple-Quarantäne-Flag tragen, eine Sicherheitsmarkierung, die eigentlich vor Internet-Downloads warnen soll. Zudem verwendet die Malware in ihrer Beschriftung optisch identische griechische und kyrillische Zeichen anstelle lateinischer Buchstaben – ein Trick, um einfache textbasierte Erkennung zu umgehen, ohne dass es dem menschlichen Auge auffällt.

Nach der Ausführung fungiert das Skript als erste Angriffsstufe. Statt gängiger Kommandozeilen-Tools, die Sicherheitssoftware häufig überwacht, nutzt es native Apple-Programmierschnittstellen, um die zweite Payload direkt herunterzuladen – was deutlich weniger verdächtige Aktivität erzeugt als typische Mac-Malware. Zuvor erstellt es einen Fingerabdruck des Geräts – Prozessortyp, Tastaturlayout, Systemsprache und Zeitzone – und nutzt diesen, um eine verschlüsselte Konfigurationsdatei zu entsperren. Geräte in Russland, Belarus, Kasachstan und mehreren Nachbarländern werden dabei gezielt ausgeschlossen, was laut Forschern auf Betreiber aus dieser Region hindeutet, die lokale Strafverfolgung vermeiden wollen.

Der Dropper installiert anschließend eine zweite, gefährlichere Komponente: eine in Rust programmierte ausführbare Datei, getarnt als legitimer Systemprozess, meist unter dem Namen „Finder“. Rust ist unter Mac-Malware-Autoren unüblich, die meist Swift, Go oder Objective-C bevorzugen, was die Analyse zusätzlich erschwert. Diese zweite Stufe führt den eigentlichen Diebstahl aus: Sie liest gespeicherte Browser-Passwörter, Cookies und Kryptowährungs-Wallet-Daten, greift auf den Schlüsselbund zu und erfasst wiederholt Inhalte der Zwischenablage – ein beliebtes Ziel, da Nutzer häufig Passwörter und Krypto-Wallet-Adressen kopieren.

Um das entscheidende Systempasswort zu erlangen, zeigt die Malware ein überzeugend gefälschtes Autorisierungsfenster, das exakt wie eine echte macOS-Anfrage aussieht. Nach Erfassung eines gültigen Passworts erscheint eine zweite, täuschende Meldung, die App sei „beschädigt“ und solle in den Papierkorb verschoben werden – um das Opfer zur Löschung der Beweise zu bewegen, während der Diebstahl bereits stattgefunden hat. In manchen Fällen zeigt die Malware später eine dritte gefälschte Warnung, wonach Finder den Zugriff auf geschützte Dateien verloren habe, um das Opfer zur manuellen Freigabe des Vollzugriffs auf die Festplatte zu bewegen – wodurch unter anderem Mail, Nachrichten und Time-Machine-Backups zugänglich würden.

Für die Persistenz registriert sich PamStealer über zwei getrennte Mechanismen, darunter ein kleines eingebettetes Hilfsprogramm, das sich als Systemeinstellungen tarnt, um die Infektion über Neustarts hinweg zu sichern. Gestohlene Daten werden mit ChaCha20-Poly1305 verschlüsselt und an einen Remote-Server gesendet, den Forscher teilweise entschlüsseln konnten – dabei kamen Konfigurationsdaten mit Verweisen auf öffentliche Ethereum-Blockchain-Endpunkte zum Vorschein, was auf zusätzliche Command-and-Control-Resilienz oder kryptowährungsbezogene Aufklärung hindeuten könnte.

Jamf-Forscher betonen, dass Disk-Image- und AppleScript-basierteKödermethoden auf macOS zunehmend verbreitet sind, PamStealer jedoch durch die Kombination aus eigenständigem Skript-Dropper, Rust-basierter Payload und lokal verifiziertem Passwortdiebstahl eine bemerkenswerte Weiterentwicklung darstellt. Nutzern wird empfohlen, unaufgefordert erhaltene .scpt-Dateien nicht zu öffnen, Software ausschließlich über offizielle Kanäle zu beziehen und unerwarteten Passwortabfragen mit Misstrauen zu begegnen.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner