Sofern man nicht im Terminal herumfummelt, ist macOS ein vergleichsweise sicheres System. Apple hat auf verschiedenen Ebenen diverse Sicherheitsmechanismen verankert. Doch eine neue Malware kann all diese austricksen. Wir geben einen Überblick.
Neue Malwarevariante entdeckt
Forscher von Jamf Threat Labs haben am Dienstag über eine neue Variante von MacSync Stealer veröffentlicht, die eine andere Methode verwendet, um macOS anzugreifen. Besonders perfide daran, die neue Malwareversion kann augenscheinlich sämtliche Sicherheitsmechanismen von macOS umgehen. Dazu zählt auch eine von Apple gültige Signatur, wodurch der Gatekeeper umgangen werden kann.
Technisch ausgefeilter Dropper
Technisch setzt die neue Variante auf einen sogenannten Dropper. Dieser bringt die eigentliche Schadsoftware zunächst verschlüsselt auf das System und entschlüsselt sie erst lokal. In dem entpackten Code fanden die Analysten typische Merkmale des bekannten MacSync-Stealers. Zusätzlich nutzt die Malware mehrere Tarn- und Abwehrmechanismen:
- Vor der Ausführung prüft der Schadcode, ob eine aktive Internetverbindung besteht – ein gängiger Trick, um Analysen in isolierten Testumgebungen zu erschweren.
- Das Disk-Image wird künstlich auf über 25 Megabyte vergrößert, indem harmlose PDF-Dateien eingebettet werden.
- Teile der verwendeten Skripte löschen sich selbst, um Spuren zu verwischen.
Weiterentwicklung einer früheren Variante
Der MacSync-Stealer trat erstmals im April 2025 unter dem Namen Mac.C in Erscheinung und wird einem Akteur mit dem Alias „Mentalpositive“ zugeschrieben. Spätestens seit dem Sommer gilt die Schadsoftware als ernst zu nehmende Bedrohung im zwar überschaubaren, aber lukrativen Markt für macOS-Infostealer – neben bekannten Vertretern wie AMOS oder Odyssey. Frühere Analysen zeigen, dass Mac.C in der Lage ist, umfangreiche Daten vom Mac abzugreifen. Dazu gehören unter anderem Zugangsdaten aus dem iCloud-Schlüsselbund, gespeicherte Browser-Passwörter, Systeminformationen, Inhalte aus Krypto-Wallets sowie beliebige Dateien vom Rechner. In einem Interview im September erklärte der mutmaßliche Entwickler, dass insbesondere die verschärften Notarisierungsanforderungen von Apple seit macOS 10.14.5 seine Entwicklungsstrategie stark geprägt hätten – eine Aussage, die durch die aktuelle, technisch deutlich weiterentwickelte Variante untermauert wird.
Aufmerksam sein
Um euch aktuell zu schützen, solltet ihr nur Software aus vertrauenswürdigen Quellen wie dem macOS App Store installieren. Auch bei scheinbar notarisierten Apps ist Aufmerksamkeit geboten: Unbekannte Installer, ungewöhnliche App-Namen oder externe Download-Seiten sind ein klares Warnsignal.Sofern noch nicht erledigt, umgehend die aktuellsten Sicherheitsupdates installieren.
