Neue MacOS-Malware kam an allen Schutzvorrichtungen vorbei
Mac-Nutzer sollten derzeit besonders aufpassen: Sicherheitsforscher warnen vor einer neuen, deutlich raffinierteren Variante des MacSync-Informationsthlers. Diese kann die Schutzvorrichtungen des MacOS-Betriebssystems komplett umgehen.
Zum Zeitpunkt der Analyse verfügte die Anwendung über eine gültige Entwicklersignatur und war offiziell notarisiert, teilte der Apple-Geräteverwaltungsspezialist Jamf mit. Dadurch konnte sie die Schutzmechanismen von Gatekeeper, dem MacOS-internen Sicherheitsdienst, umgehen, die eigentlich verhindern sollen, dass nicht vertrauenswürdige Software gestartet wird. Jamf identifizierte die zugehörige Entwicklerkennung als "GNJLS3UYZ4". Nachdem die Forscher Apple direkt auf das Zertifikat hingewiesen hatten, wurde dieses inzwischen widerrufen.
Technisch setzt die neue Variante auf einen Dropper, der die eigentliche Schadsoftware zunächst in verschlüsselter Form auf das System bringt und erst dort entschlüsselt. In dem entpackten Code fanden die Analysten typische Merkmale des MacSync-Stealers. Zusätzlich baut die Malware mehrere Tarn- und Abwehrmechanismen ein: So wird das Disc-Image künstlich auf über 25 Megabyte aufgebläht, indem harmlose PDF-Dateien eingebettet werden. Außerdem löscht sich ein Teil der verwendeten Skripte selbst und überprüft vor der Ausführung, ob eine Internetverbindung besteht - ein Trick, um Analyse in isolierten Testumgebungen zu erschweren.
Frühere Untersuchungen zeigen, dass Mac.C Zugangsdaten aus dem iCloud-Schlüsselbund, gespeicherte Browser-Passwörter, Systeminformationen, Daten von Krypto-Wallets sowie beliebige Dateien vom Rechner abgreifen kann. In einem Interview im September erklärte der mutmaßliche Autor, dass vor allem die verschärften Notarisierungsregeln von Apple seit MacOS 10.14.5 seine Entwicklungsstrategie geprägt hätten, was sich nun in der ausgefeilten aktuellen Variante widerspiegelt.
Siehe auch:
Offizielle Signatur
Bislang setzten die Angreifer bei der Verbreitung der Malware vor allem auf Tricks, bei denen Nutzer per Drag-and-drop oder über vermeintliche Reparaturhinweise im Terminal zur Ausführung von Befehlen verleitet wurden. Die aktuelle Kampagne kommt dagegen ohne Terminal-Interaktion aus. Das Schadprogramm wird in einem Disc-Image mit dem Namen "zk-call-messenger-installer-3.9.2-lts.dmg" ausgeliefert, das über eine eigens eingerichtete Download-Seite verteilt wird. Für Anwender wirkt das Paket dadurch wie eine legitime MacOS-App.Zum Zeitpunkt der Analyse verfügte die Anwendung über eine gültige Entwicklersignatur und war offiziell notarisiert, teilte der Apple-Geräteverwaltungsspezialist Jamf mit. Dadurch konnte sie die Schutzmechanismen von Gatekeeper, dem MacOS-internen Sicherheitsdienst, umgehen, die eigentlich verhindern sollen, dass nicht vertrauenswürdige Software gestartet wird. Jamf identifizierte die zugehörige Entwicklerkennung als "GNJLS3UYZ4". Nachdem die Forscher Apple direkt auf das Zertifikat hingewiesen hatten, wurde dieses inzwischen widerrufen.
Technisch setzt die neue Variante auf einen Dropper, der die eigentliche Schadsoftware zunächst in verschlüsselter Form auf das System bringt und erst dort entschlüsselt. In dem entpackten Code fanden die Analysten typische Merkmale des MacSync-Stealers. Zusätzlich baut die Malware mehrere Tarn- und Abwehrmechanismen ein: So wird das Disc-Image künstlich auf über 25 Megabyte aufgebläht, indem harmlose PDF-Dateien eingebettet werden. Außerdem löscht sich ein Teil der verwendeten Skripte selbst und überprüft vor der Ausführung, ob eine Internetverbindung besteht - ein Trick, um Analyse in isolierten Testumgebungen zu erschweren.
Konsequente Entwicklung
Der MacSync-Stealer tauchte erstmals im April 2025 unter dem Namen Mac.C auf und wird einem Akteur mit dem Alias "Mentalpositive" zugeschrieben. Spätestens seit dem Sommer hat sich die Schadsoftware als ernst zu nehmender Player im überschaubaren, aber lukrativen Markt für MacOS-Stealer etabliert, neben bekannten Familien wie AMOS oder Odyssey.Frühere Untersuchungen zeigen, dass Mac.C Zugangsdaten aus dem iCloud-Schlüsselbund, gespeicherte Browser-Passwörter, Systeminformationen, Daten von Krypto-Wallets sowie beliebige Dateien vom Rechner abgreifen kann. In einem Interview im September erklärte der mutmaßliche Autor, dass vor allem die verschärften Notarisierungsregeln von Apple seit MacOS 10.14.5 seine Entwicklungsstrategie geprägt hätten, was sich nun in der ausgefeilten aktuellen Variante widerspiegelt.
Zusammenfassung
- Neue MacSync-Malware überwindet alle Sicherheitsmechanismen von MacOS
- Angreifer verbreiten Schadsoftware über gefälschten Messenger-Installer
- Malware umging Apples Gatekeeper dank gültiger Entwicklersignatur
- Täuschungstechniken wie Selbstlöschung und Internetverbindungscheck
- Schadsoftware stiehlt Passwörter, Wallet-Daten und Systeminformationen
- Entwickler adaptierte Strategien nach Verschärfung der Apple-Sicherheit
- Erstmals im April 2025 entdeckt und wird Akteur 'Mentalpositive' zugeordnet
Siehe auch:
Thema:
Neue MacOS-Videos
-
Ähnlicher Preis bringt die Frage auf: MacBook Neo oder ein iPad?
-
Windows 11 statt MacOS: Parallels Desktop 17 für Mac veröffentlicht
-
Windows, iOS & Android: Xbox Cloud Gaming jetzt für alle verfügbar
-
WWDC 2021: Die Ankündigungen von Tag 1 im Überblick
-
MacOS Big Sur: Eindrücke zu den Neuerungen des Betriebssystems
Beiträge aus dem Forum
-
KeePass – Der Open-Source Passwort-Manager für Windows, Linux, macOS,
d-hubs -
Wie alt sollte ein MacBook höchstens sein?
MiezMau -
Virtuellen PDF Drucker auf Macbook installieren - wie ?
Sonnenschein11 -
Surfstick für MacBook Air mit Sonoma 14
landbastler -
Win-Viren am Mac prüfen?
mondayand0 -
Kontextmenu bearbeiten
Brutschi -
Office 2019 MAC Problem
MiyaGi -
MacOS verliert bei ExFAT die Finder-Kommentare
Brutschi -
Windows Systemabbild wiederherstellen - hänge an einer Stelle :-(
der dom -
Safari springt immer wieder zum Homescreen
der dom
Beliebte Downloads
Weiterführende Links
Neue Nachrichten
- Großer Juni-Sale: Neue Weekend-Deals jetzt bei Media Markt & Saturn
- Unreal Engine 6: Epic enthüllt das Release-Jahr und neue Features
- Epic Games Store 2.0: Launcher bekommt riesiges 'Rettungs'-Update
- Gutachten: Reiches neues Heizungsgesetz ist verfassungswidrig
- Geld-Glitch in Forza Horizon 6: Studio bestrafte Exploit-Nutzer
- Dann geh doch zu DuckDuckGo! Googles eigene KI empfiehlt Konkurrenz
- Valve Steam Controller: Lieferung bei Bestellung heute erst 2027
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen