Neue Gefahr für macOS: DigitStealer stiehlt Daten unbemerkt

Ein aktueller Fund des Threat-Labs-Teams von Jamf zeigt, dass macOS-Nutzer einer neuen Form von Datendiebstahl ausgesetzt sind.

Der identifizierte Infostealer mit der Bezeichnung DigitStealer arbeitet besonders unauffällig und war zum Zeitpunkt der Untersuchung für gängige Antivirenlösungen unsichtbar.

Die Analyse der Sicherheitsexperten legt offen, dass die Schadsoftware mit ungewöhnlich hoher technischer Präzision entwickelt wurde, was sie für Angreifer besonders attraktiv macht.

Einfallstor über vertraute Nutzeraktionen

DigitStealer verbreitet sich über eine Technik, die macOS-Anwender gut kennen. Der Schadcode wird durch das Ziehen einer Datei ins Terminal gestartet. Als Tarnung dient ein vermeintliches Dienstprogramm mit dem Namen Dynamic Lake, das harmlos wirkt, aber im Hintergrund eine mehrstufige Angriffskette auslöst.

Schon vor der eigentlichen Ausführung prüft DigitStealer die Systemeinstellungen. Stimmen bestimmte Ländercodes mit internen Listen überein, endet der Prozess sofort. Vermutlich wollen sich die Entwickler so vor Ermittlungen in ihrem eigenen Umfeld schützen. Danach folgt eine Hardwareanalyse, die klärt, ob das Gerät über einen Apple Silicon M2 oder eine neuere Chipgeneration verfügt. Nur wenn diese Prüfung bestanden wird, läuft der Angriff weiter.

Aufbau des Angriffs: vier Module im Speicher

Eine Besonderheit von DigitStealer ist die modular aufgebaute Schadlogik. Der Infostealer lädt nacheinander vier separate Komponenten aus dem Netz nach. Einige davon nutzen JXA, also JavaScript for Automation.

Diese Module greifen auf eine Reihe sensibler Datenbestände zu. Dazu zählen Browserdaten aus Chrome, Edge oder Firefox sowie Dateien verschiedener Kryptowallets wie Ledger, Electrum oder Exodus. Die Ausführung erfolgt vollständig im Arbeitsspeicher des Systems. Dadurch gibt es kaum Spuren, was sowohl die Erkennung in Echtzeit als auch die spätere forensische Analyse erschwert.

Was DigitStealer über aktuelle Angreifer verrät

Die Entwicklung dieses Infostealers demonstriert, wie professionell und spezialisiert macOS-Angriffe mittlerweile umgesetzt werden. Während viele Schadprogramme nach klassischen Mustern arbeiten, geht DigitStealer neue Wege. Die Kombination aus Hardwareselektion, modularer Architektur und speicherbasierter Ausführung belegt, dass seine Entwickler ein tiefes Verständnis von Apples Plattform besitzen.

Für die Sicherheitsforschung ist die Entdeckung ein weiteres Beispiel dafür, wie sehr das Ökosystem von Infostealern wächst. Angreifer setzen zunehmend auf maßgeschneiderte Lösungen, die nicht nur wertvolle Daten abgreifen, sondern dabei möglichst unentdeckt bleiben.