Sicherheitsforscher von Jamf Threat Labs haben eine neue Schadsoftware für macOS entdeckt, die gezielt auf den Diebstahl sensibler Daten ausgelegt ist.
Der sogenannte PamStealer gibt sich als die bekannte Open-Source-Anwendung „Maccy“ aus und setzt auf eine raffinierte Kombination aus Social Engineering und nativen macOS-Funktionen, um unbemerkt an Zugangsdaten und weitere vertrauliche Informationen zu gelangen.

Die Passwortabfrage sieht aus wie eine echte macOS-Autorisierungsanfrage (Copyright Jamf)
Angriff beginnt mit einer scheinbar harmlosen Datei
Der Infektionsweg unterscheidet sich von vielen bekannten macOS-Schädlingen. Nutzer werden dazu verleitet, ein präpariertes AppleScript im Script Editor zu öffnen und selbst auszuführen. Die Datei wirkt auf den ersten Blick unauffällig und vermittelt den Eindruck einer legitimen Anwendung. Hinweise innerhalb des Dokuments führen den Anwender gezielt dazu, den enthaltenen Code auszuführen.
Auffällig ist, dass in dieser ersten Phase keine klassischen Shell-Befehle verwendet werden. Stattdessen lädt das AppleScript unauffällig weitere Schadsoftware nach und hinterlässt dabei deutlich weniger erkennbare Spuren als herkömmliche Angriffe.
Schadsoftware greift Browserdaten und Passwörter ab
Nach dem erfolgreichen Start wird ein in Rust entwickelter Infostealer aktiviert. Dieser sammelt unter anderem Browserdaten und Inhalte der Zwischenablage und sorgt gleichzeitig dafür, dauerhaft auf dem System präsent zu bleiben.
Zusätzlich tarnt sich die Malware als legitime Systemkomponente. Sie blendet eine Passwortabfrage ein, die optisch einer echten macOS-Autorisierungsanfrage entspricht. Das eingegebene Kennwort wird lokal überprüft und anschließend für weitere Aktionen genutzt. Im späteren Verlauf versucht die Schadsoftware außerdem, den Nutzer zur Freigabe von Full Disk Access zu bewegen, um auf zusätzliche geschützte Datenbereiche zugreifen zu können.
Bekannte Techniken werden geschickt kombiniert
Nach Einschätzung von Jamf Threat Labs setzt PamStealer zwar keine völlig neuen Angriffsmethoden ein, kombiniert jedoch etablierte Techniken besonders wirkungsvoll. Die Verwendung nativer macOS-Programmierschnittstellen, die glaubwürdige Tarnung sowie die schrittweise Durchführung des Angriffs sorgen dafür, dass viele klassische Warnsignale ausbleiben.
Dadurch wird es für Sicherheitslösungen schwieriger, den Angriff frühzeitig zu erkennen. Einzelne Aktionen erscheinen für sich genommen unauffällig und fügen sich in das normale Verhalten des Betriebssystems ein.
Die Analyse zeigt, dass moderne macOS-Malware zunehmend auf unauffällige Abläufe setzt, anstatt durch auffällige Schadfunktionen Aufmerksamkeit zu erregen. Für Unternehmen und Sicherheitsteams wird es daher immer wichtiger, nicht nur einzelne verdächtige Ereignisse zu überwachen, sondern den Zusammenhang mehrerer scheinbar harmloser Aktivitäten auf einem System zu erkennen. Nur so lassen sich komplexe Angriffsketten wie die von PamStealer rechtzeitig identifizieren und stoppen.
(red/Jamf)