Mac News · Sicherheit

CrashStealer: Mac-Trojaner imitiert System-Tool und stiehlt Schlüsselbund

Ein neuer macOS-Trojaner namens CrashStealer nutzt eine legitime Meeting-App als Einstiegstool und tarnt sich anschließend als CrashReporter. Das Ziel: Der unbemerkte Diebstahl von Passwörtern, Browserdaten und Krypto-Wallets.
A
AppTickerTeam
Vor 1 Std3 Min. Lesezeit
CrashStealer: Mac-Trojaner imitiert System-Tool und stiehlt Schlüsselbund
Banner-Werbung
Leaderboard · 970 × 250 / 728 × 90

Jamf Threat Labs hat eine neue, hochentwickelte Schadsoftware für den Mac entdeckt. Der Infostealer namens CrashStealer macht sich zunutze, dass Apple-Systeme zunehmend auf signierte Software vertrauen. Indem er zunächst eine offiziell beglaubigte Anwendung als Wirt nutzt und sich später als legitimes Systemprogramm ausgibt, umgeht er viele Sicherheitsmechanismen. Ziel der Angreifer ist der vollständige Zugriff auf den macOS-Schlüsselbund sowie gesammelte Login-Daten aus Browsern und Wallets. Apple hat bereits Gegenmaßnahmen ergriffen, die Gefahr durch ähnliche Taktiken bleibt jedoch bestehen.

Der Trojaner hinter der Meeting-App

Der Angriff beginnt mit einer scheinbar harmlosen Anwendung namens Werkbit, die sich als Videokonferenz-Tool tarnt. Diese Software wurde über eine speziell gesicherte Domain an potenzielle Opfer verteilt und verfügt über eine gültige Apple-Entwickler-ID. Dank dieser Legitimation durchläuft die App den Notarisierungsprozess erfolgreich und wird vom integrierten Gatekeeper ohne Warnung akzeptiert. Nach dem Start lädt die Schadsoftware im Hintergrund eine verschlüsselte Version des eigentlichen Trojaners von externen Servern wie GitHub herunter. Kurz nachdem Jamf die Aktivität gemeldet hat, hat Apple die betroffenen Entwicklerzertifikate widerrufen, um die Lieferkette der Malware zu unterbrechen.

Täuschung als Systemwerkzeug

Sobald der Downloader aktiv ist, entfaltet CrashStealer seine eigentliche Tarnung: Die Malware gibt sich als CrashReporter.app aus. Sie übernimmt das genaue Bundle-ID-Format und das originale Symbol von Apples eigenem Absturzprotokoll-Tool, um bei Nutzern kein Misstrauen zu wecken. Um an die wertvollen Zugangsdaten zu gelangen, blendet der Trojaner ein gefälschtes Autorisierungsfenster ein und fordert zur Eingabe des Kontopassworts auf. Im Hintergrund prüft die Software das eingegebene Geheimnis mithilfe des legitimen Systembefehls dscl. Stimmen die Daten überein, entschlüsselt CrashStealer den Login-Schlüsselbund und erstellt eine vollständige Kopie aller gespeicherten Credentials.

Gezielter Diebstahl sensibler Daten

Nach der erfolgreichen Entsperrung des Schlüsselbunds beginnt der systematische Abbau der lokalen Datenbanken. Der Trojaner durchsucht gezielt die Speicherorte folgender Browser nach gespeicherten Logins:

  • Google Chrome
  • Microsoft Edge
  • Mozilla Firefox
  • Brave

Darüber hinaus scannt die Malware rund 80 verschiedene Krypto-Wallet-Erweiterungen und 14 gängige Passwortmanager auf nutzbare Zugänge. Eine gezielte Dateisuche in den Ordnern Downloads und Dokumente sichert zudem wertvolle Dokumente, während große Medien- oder Cache-Dateien bewusst ignoriert werden. Bevor die Beute den Mac verlässt, verschlüsselt CrashStealer alle extrahierten Informationen mit AES-256-GCM und packt sie in versteckte ZIP-Archive.

Verschlüsselung und versteckte Persistenz

Für eine dauerhafte Präsenz auf dem infizierten Gerät verlagert die Malware ihre Dateien in den Library-Ordner des Benutzers. Sie erzeugt einen LaunchAgent für den automatischen Systemstart und signiert die Kopie danach neu. Diese Neusignierung soll Tools zur Erkennung über Hashwerte austricksen, da sich der digitale Fingerabdruck der Datei dadurch verändert. Sicherheitsexperten weisen darauf hin, dass eine gültige Signierung und Notarisierung keinen absoluten Schutz bieten, da Zertifikate geknackt oder gestohlen werden können. Nutzer sollten bei unerwarteten Passwortabfragen nach dem Öffnen fremder Apps sofort abbrechen und im Verdachtsfall den Mac komplett neu aufsetzen.

Banner-Werbung
Inline · Billboard 970 × 250

Das könnte dich auch interessieren

Weitere Geschichten aus Mac News.

Alle Mac News →
KeyNook: Der Passwortmanager ohne Abo für Apple-Geräte
Apps

KeyNook: Der Passwortmanager ohne Abo für Apple-Geräte

Kein monatliches Abo, keine Cloud-Pflicht, kein Tracking: KeyNook ist ein neuer Passwortmanager für das Apple-Universum, der auf maximalen Datenschutz und einmalige Bezahlung setzt.

Vor 7 Std5 Min
PamStealer: macOS-Infostealer imitiert Maccy-Zwischenablage-Tool
Mac News

PamStealer: macOS-Infostealer imitiert Maccy-Zwischenablage-Tool

Sicherheitsforscher von Jamf warnen vor einer neuen Mac-Malware, die sich als Zwischenablagen-Manager tarnt. Die Schadsoftware umgeht die Quarantäne durch manuelle Skript-Ausführung und stiehlt danach Passwörter, Browser-Daten und Krypto-Wallets.

Vor 6 Tagen3 Min
macOS 27 Beta 3: Design-Korrekturen und erweiterte Siri AI
Mac News

macOS 27 Beta 3: Design-Korrekturen und erweiterte Siri AI

Apple hat den dritten Testlauf von macOS 27 Golden Gate veröffentlicht. Der Fokus liegt auf optischen Feinanpassungen am Liquid-Glass-Design sowie einem Ausbau der visuellen KI-Funktionen von Siri.

07.07.20263 Min
iOS 27: Trust Insights soll Social Engineering auf dem iPhone erkennen
iOS

iOS 27: Trust Insights soll Social Engineering auf dem iPhone erkennen

Mit iOS 27 führt Apple Trust Insights ein, ein Framework, das Apps dabei unterstützt, Social-Engineering-Angriffe zu erkennen. Die Analyse läuft lokal auf dem Gerät und gibt dabei sensibel mit den Daten der Nutzer um.

03.07.20263 Min
Apple preist Macs und iPads teurer – Analysten bleiben ruhig
Apple

Apple preist Macs und iPads teurer – Analysten bleiben ruhig

Apple hat am 25. Juni 2026 Preiserhöhungen für Teile des Mac- und iPad-Sortiments bekanntgegeben. Die Aktie reagierte mit einem deutlichen Kursverlust von 4,8 Prozent, doch Analysten von Evercore ISI und Wedbush sehen die Maßnahme als notwendigen Schutz der Gewinnmarge.

26.06.20263 Min
Apple erhöht deutlich die Preise für fast alle Hardware-Produkte
Apple

Apple erhöht deutlich die Preise für fast alle Hardware-Produkte

Apple hat die Preise für nahezu das gesamte Hardwaresortiment angehoben, mit einer bemerkenswerten Ausnahme: Das aktuelle iPhone bleibt verschont. Die Mehrkosten reichen von 30 bis 500 Euro.

25.06.20263 Min

Kommentare

Sei der Erste, der hier kommentiert.

Du musst angemeldet sein, um zu kommentieren.

News & Schnäppchen — jeden Freitag in deiner Inbox.

Die wichtigsten App-News und besten Deals der Woche, kuratiert von der Redaktion. Kein Spam.