Apple-Nutzer bestohlen: Trojaner umgeht Gatekeeper mit Terminal-Trick
Ein Klick auf vermeintliche Hilfeseiten reichte in diesem Sommer aus, und schon waren Mac-Nutzer mitten in einer perfiden Falle. Hinter der Angriffswelle steckt nach Erkenntnissen von Sicherheitsexperten die Gruppe Cookie Spider.
Im aktuellen Fall setzten sie auf eine neue Variante des Datendiebs Atomic macOS Stealer (AMOS), die unter dem Namen SHAMOS bekannt ist. Die Sicherheitsspezialisten von CrowdStrike berichten, ihre Sicherheitsplattform Falcon habe die Kampagne erkannt und blockiert.
Domains wie mac-safer.com oder rescue-mac.com gaben sich als offizielle Hilfeseiten aus. Dort wurden Nutzer aufgefordert, einen unscheinbaren Befehl ins Terminal zu kopieren. Dahinter verbarg sich ein Downloadskript, das das Passwort abgriff und Schadsoftware nachlud. Die Anzeigen erschienen international, etwa in den USA, Großbritannien, Japan, Kanada und Italien.
Die Angreifer beschränkten sich aber laut Crowdstrike nicht auf Suchanzeigen. Auch über GitHub versuchten sie, ihre Schadsoftware zu verbreiten. Als kostenlose Tools getarnt - von vermeintlicher Videosoftware bis hin zu KI-Anwendungen - gelangten die Programme auf die Rechner ahnungsloser Nutzer.
So unscheinbar die Falle auf den ersten Blick auch wirken mag - die Kampagne zeigt, wie professionell Cyberkriminelle vorgehen und wie wichtig es ist, auch auf dem Mac aufmerksam und vorsichtig zu bleiben.
Habt ihr schon einmal verdächtige Terminal-Befehle auf vermeintlichen Hilfeseiten gesehen? Teilt eure Erfahrungen in den Kommentaren!
Siehe auch:
Neue Malware-Kampagne bedroht macOS-Nutzer
Zwischen Juni und August 2025 versuchten Cyberkriminelle weltweit, über manipulierte Suchanzeigen Schadsoftware auf die Geräte ihrer Opfer zu schleusen - mit dem Ziel, an Passwörter, Kryptowährungs-Wallets und persönliche Daten zu gelangen.Im aktuellen Fall setzten sie auf eine neue Variante des Datendiebs Atomic macOS Stealer (AMOS), die unter dem Namen SHAMOS bekannt ist. Die Sicherheitsspezialisten von CrowdStrike berichten, ihre Sicherheitsplattform Falcon habe die Kampagne erkannt und blockiert.
Gefälschte Hilfeseiten in Suchmaschinen
Doch wie versuchten die Cyberkriminellen nun, ihre Opfer in die Falle zu locken? Besonders heimtückisch war der Weg, den die Täter wählten. Wer nach Lösungen für macOS-Probleme suchte - etwa "flush resolver cache" -, bekam in den Suchergebnissen manipulierte Anzeigen eingeblendet.Domains wie mac-safer.com oder rescue-mac.com gaben sich als offizielle Hilfeseiten aus. Dort wurden Nutzer aufgefordert, einen unscheinbaren Befehl ins Terminal zu kopieren. Dahinter verbarg sich ein Downloadskript, das das Passwort abgriff und Schadsoftware nachlud. Die Anzeigen erschienen international, etwa in den USA, Großbritannien, Japan, Kanada und Italien.
Umgehung von Schutzmechanismen
Mit ihrem Trick gelang es den Angreifern, Apples Gatekeeper-Sicherheitsprüfung zu umgehen. Nach der Installation prüfte SHAMOS zunächst, ob es in einer Testumgebung ausgeführt wurde, und begann anschließend mit einer systematischen Datensammlung. Ziel waren Keychain-Zugänge, Notizen, Browser-Logins und Krypto-Wallets. Die erbeuteten Informationen wurden in einer Datei gebündelt und unauffällig an die Hintermänner übermittelt. Infografik: Wo politische Cyberattacken ihren Ursprung haben
Gefahr auch durch Gratis-Software
Hatte die Malware Zugriff auf Sudo-Rechte, richtete sie zusätzlich einen dauerhaften Zugang ein, indem sie eine Plist-Datei im Systemordner LaunchDaemons platzierte. Neben dieser Variante entdeckten Sicherheitsexperten auch eine gefälschte Wallet-App und Bausteine für ein Botnetz.Die Angreifer beschränkten sich aber laut Crowdstrike nicht auf Suchanzeigen. Auch über GitHub versuchten sie, ihre Schadsoftware zu verbreiten. Als kostenlose Tools getarnt - von vermeintlicher Videosoftware bis hin zu KI-Anwendungen - gelangten die Programme auf die Rechner ahnungsloser Nutzer.
So können sich Nutzer schützen
Die Kampagne macht deutlich: Auch Mac-Anwender sind längst ins Fadenkreuz professioneller Krimineller geraten. Verbraucher können sich mit einfachen Mitteln schützen:- Suchergebnisse kritisch prüfen: Beworbene Links sind nicht automatisch vertrauenswürdig. Besser ist es, offizielle Seiten direkt anzusteuern.
- Keine unbekannten Befehle ausführen: Wer dazu aufgefordert wird, kryptische Terminal-Kommandos einzugeben, sollte sofort misstrauisch werden.
- System aktuell halten: macOS regelmäßig updaten und Sicherheitslösungen nutzen, die verdächtige Aktivitäten erkennen können.
- Downloads nur aus vertrauenswürdigen Quellen: Gratis-Software niemals von zufälligen GitHub-Repositories oder dubiosen Seiten laden.
- Sensible Daten absichern: Passwort-Manager, Zwei-Faktor-Authentifizierung und regelmäßige Backups erschweren Datendieben ihr Geschäft.
So unscheinbar die Falle auf den ersten Blick auch wirken mag - die Kampagne zeigt, wie professionell Cyberkriminelle vorgehen und wie wichtig es ist, auch auf dem Mac aufmerksam und vorsichtig zu bleiben.
Habt ihr schon einmal verdächtige Terminal-Befehle auf vermeintlichen Hilfeseiten gesehen? Teilt eure Erfahrungen in den Kommentaren!
Zusammenfassung
- Mac-Nutzer von Juni bis August 2025 durch gefälschte Suchanzeigen angegriffen
- Cyberkriminelle Gruppe Cookie Spider nutzte SHAMOS-Malware für Datendiebstahl
- Manipulierte Hilfeseiten lockten Nutzer mit Terminal-Befehlen in die Falle
- SHAMOS umging Apples Sicherheitssystem und stahl Passwörter und Krypto-Wallets
- Verbreitung erfolgte über gefälschte Sucheinträge und GitHub-Repositories
- Schutztipps: Keine unbekannten Befehle ausführen und Quellen prüfen
- Kampagne zeigt wachsende Bedrohung für Mac-Nutzer durch Cyberkriminelle
Siehe auch:
Thema:
Apples Aktienkurs in Euro
Videos von und über Apple
-
iPadOS 27: Erste Blicke auf Apples neues Tablet-Betriebssystem
-
Silo: Apple zeigt den offiziellen Trailer zu Staffel 3 der Sci-Fi-Serie
-
Tipps zum Tablet: Nützliches Zubehör für iPad 10 und iPad 11 im Test
-
Getestet: Wie stark unterscheiden sich MacBook Neo und MacBook Pro?
-
Ähnlicher Preis bringt die Frage auf: MacBook Neo oder ein iPad?
Neue Downloads zum Thema Apple
Beiträge aus dem Forum
-
Wie alt sollte ein MacBook höchstens sein?
MiezMau -
Virtuellen PDF Drucker auf Macbook installieren - wie ?
Sonnenschein11 -
AppleTV
MiezMau -
Surfstick für MacBook Air mit Sonoma 14
landbastler -
iPhone 13 + Smartwatch (keine Apple Watch)
Bilaltore -
Win-Viren am Mac prüfen?
mondayand0 -
IPhone Ortung verhindern.
PC.Nutzer -
Kontextmenu bearbeiten
Brutschi -
Office 2019 MAC Problem
MiyaGi -
Windows Computer vergleichbar Apple M1 Mini
Lewio82
Weiterführende Links
iPhone 17 Pro im Preisvergleich
Amazon.de 
Joybuy 
Netto Marken-Discount 
Afbshop 
Galaxus Neue Nachrichten
- Neue Weekend-Deals sind da: Media Markt & Saturn senken die Preise
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Ryzen-CPUs: AMD killt RAM-Verschlüsselung - und rudert jetzt zurück
- Windows 11 26H2: Microsoft veröffentlicht allererste Vorschau-Version
- Apple M6-Prozessoren: TSMC liefert erste 2nm-Chips für neue Macs
- Windows 11 26H2: Microsoft kündigt nächste OS-Version offiziell an
- VW ID.3 Neo GTI: Erlkönig des neuen Elektro-GTI wurde gesichtet
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon