Verdächtige Ereignisse zu überwachen

Neuer macOS-Infostealer tarnt sich als Maccy-Anwendung

MacOS
Bildquelle: sdx15 / Shutterstock.com

Sicherheitsforscher von Jamf Threat Labs haben eine neue Schadsoftware für macOS entdeckt, die gezielt auf den Diebstahl sensibler Daten ausgelegt ist.

Der sogenannte PamStealer gibt sich als die bekannte Open-Source-Anwendung „Maccy“ aus und setzt auf eine raffinierte Kombination aus Social Engineering und nativen macOS-Funktionen, um unbemerkt an Zugangsdaten und weitere vertrauliche Informationen zu gelangen.

Anzeige
unnamed 44

Die Passwortabfrage sieht aus wie eine echte macOS-Autorisierungsanfrage (Copyright Jamf)

Angriff beginnt mit einer scheinbar harmlosen Datei

Der Infektionsweg unterscheidet sich von vielen bekannten macOS-Schädlingen. Nutzer werden dazu verleitet, ein präpariertes AppleScript im Script Editor zu öffnen und selbst auszuführen. Die Datei wirkt auf den ersten Blick unauffällig und vermittelt den Eindruck einer legitimen Anwendung. Hinweise innerhalb des Dokuments führen den Anwender gezielt dazu, den enthaltenen Code auszuführen.

Auffällig ist, dass in dieser ersten Phase keine klassischen Shell-Befehle verwendet werden. Stattdessen lädt das AppleScript unauffällig weitere Schadsoftware nach und hinterlässt dabei deutlich weniger erkennbare Spuren als herkömmliche Angriffe.

Anzeige

Schadsoftware greift Browserdaten und Passwörter ab

Nach dem erfolgreichen Start wird ein in Rust entwickelter Infostealer aktiviert. Dieser sammelt unter anderem Browserdaten und Inhalte der Zwischenablage und sorgt gleichzeitig dafür, dauerhaft auf dem System präsent zu bleiben.

Zusätzlich tarnt sich die Malware als legitime Systemkomponente. Sie blendet eine Passwortabfrage ein, die optisch einer echten macOS-Autorisierungsanfrage entspricht. Das eingegebene Kennwort wird lokal überprüft und anschließend für weitere Aktionen genutzt. Im späteren Verlauf versucht die Schadsoftware außerdem, den Nutzer zur Freigabe von Full Disk Access zu bewegen, um auf zusätzliche geschützte Datenbereiche zugreifen zu können.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Bekannte Techniken werden geschickt kombiniert

Nach Einschätzung von Jamf Threat Labs setzt PamStealer zwar keine völlig neuen Angriffsmethoden ein, kombiniert jedoch etablierte Techniken besonders wirkungsvoll. Die Verwendung nativer macOS-Programmierschnittstellen, die glaubwürdige Tarnung sowie die schrittweise Durchführung des Angriffs sorgen dafür, dass viele klassische Warnsignale ausbleiben.

Dadurch wird es für Sicherheitslösungen schwieriger, den Angriff frühzeitig zu erkennen. Einzelne Aktionen erscheinen für sich genommen unauffällig und fügen sich in das normale Verhalten des Betriebssystems ein.

Die Analyse zeigt, dass moderne macOS-Malware zunehmend auf unauffällige Abläufe setzt, anstatt durch auffällige Schadfunktionen Aufmerksamkeit zu erregen. Für Unternehmen und Sicherheitsteams wird es daher immer wichtiger, nicht nur einzelne verdächtige Ereignisse zu überwachen, sondern den Zusammenhang mehrerer scheinbar harmloser Aktivitäten auf einem System zu erkennen. Nur so lassen sich komplexe Angriffsketten wie die von PamStealer rechtzeitig identifizieren und stoppen.

(red/Jamf)

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.