CrashStealer: Mac-Trojaner imitiert System-Tool und stiehlt Schlüsselbund

Jamf Threat Labs hat eine neue, hochentwickelte Schadsoftware für den Mac entdeckt. Der Infostealer namens CrashStealer macht sich zunutze, dass Apple-Systeme zunehmend auf signierte Software vertrauen. Indem er zunächst eine offiziell beglaubigte Anwendung als Wirt nutzt und sich später als legitimes Systemprogramm ausgibt, umgeht er viele Sicherheitsmechanismen. Ziel der Angreifer ist der vollständige Zugriff auf den macOS-Schlüsselbund sowie gesammelte Login-Daten aus Browsern und Wallets. Apple hat bereits Gegenmaßnahmen ergriffen, die Gefahr durch ähnliche Taktiken bleibt jedoch bestehen.
Der Trojaner hinter der Meeting-App
Der Angriff beginnt mit einer scheinbar harmlosen Anwendung namens Werkbit, die sich als Videokonferenz-Tool tarnt. Diese Software wurde über eine speziell gesicherte Domain an potenzielle Opfer verteilt und verfügt über eine gültige Apple-Entwickler-ID. Dank dieser Legitimation durchläuft die App den Notarisierungsprozess erfolgreich und wird vom integrierten Gatekeeper ohne Warnung akzeptiert. Nach dem Start lädt die Schadsoftware im Hintergrund eine verschlüsselte Version des eigentlichen Trojaners von externen Servern wie GitHub herunter. Kurz nachdem Jamf die Aktivität gemeldet hat, hat Apple die betroffenen Entwicklerzertifikate widerrufen, um die Lieferkette der Malware zu unterbrechen.
Täuschung als Systemwerkzeug
Sobald der Downloader aktiv ist, entfaltet CrashStealer seine eigentliche Tarnung: Die Malware gibt sich als CrashReporter.app aus. Sie übernimmt das genaue Bundle-ID-Format und das originale Symbol von Apples eigenem Absturzprotokoll-Tool, um bei Nutzern kein Misstrauen zu wecken. Um an die wertvollen Zugangsdaten zu gelangen, blendet der Trojaner ein gefälschtes Autorisierungsfenster ein und fordert zur Eingabe des Kontopassworts auf. Im Hintergrund prüft die Software das eingegebene Geheimnis mithilfe des legitimen Systembefehls dscl. Stimmen die Daten überein, entschlüsselt CrashStealer den Login-Schlüsselbund und erstellt eine vollständige Kopie aller gespeicherten Credentials.
Gezielter Diebstahl sensibler Daten
Nach der erfolgreichen Entsperrung des Schlüsselbunds beginnt der systematische Abbau der lokalen Datenbanken. Der Trojaner durchsucht gezielt die Speicherorte folgender Browser nach gespeicherten Logins:
- Google Chrome
- Microsoft Edge
- Mozilla Firefox
- Brave
Darüber hinaus scannt die Malware rund 80 verschiedene Krypto-Wallet-Erweiterungen und 14 gängige Passwortmanager auf nutzbare Zugänge. Eine gezielte Dateisuche in den Ordnern Downloads und Dokumente sichert zudem wertvolle Dokumente, während große Medien- oder Cache-Dateien bewusst ignoriert werden. Bevor die Beute den Mac verlässt, verschlüsselt CrashStealer alle extrahierten Informationen mit AES-256-GCM und packt sie in versteckte ZIP-Archive.
Verschlüsselung und versteckte Persistenz
Für eine dauerhafte Präsenz auf dem infizierten Gerät verlagert die Malware ihre Dateien in den Library-Ordner des Benutzers. Sie erzeugt einen LaunchAgent für den automatischen Systemstart und signiert die Kopie danach neu. Diese Neusignierung soll Tools zur Erkennung über Hashwerte austricksen, da sich der digitale Fingerabdruck der Datei dadurch verändert. Sicherheitsexperten weisen darauf hin, dass eine gültige Signierung und Notarisierung keinen absoluten Schutz bieten, da Zertifikate geknackt oder gestohlen werden können. Nutzer sollten bei unerwarteten Passwortabfragen nach dem Öffnen fremder Apps sofort abbrechen und im Verdachtsfall den Mac komplett neu aufsetzen.
Das könnte dich auch interessieren
Weitere Geschichten aus Mac News.

KeyNook: Der Passwortmanager ohne Abo für Apple-Geräte
Kein monatliches Abo, keine Cloud-Pflicht, kein Tracking: KeyNook ist ein neuer Passwortmanager für das Apple-Universum, der auf maximalen Datenschutz und einmalige Bezahlung setzt.

PamStealer: macOS-Infostealer imitiert Maccy-Zwischenablage-Tool
Sicherheitsforscher von Jamf warnen vor einer neuen Mac-Malware, die sich als Zwischenablagen-Manager tarnt. Die Schadsoftware umgeht die Quarantäne durch manuelle Skript-Ausführung und stiehlt danach Passwörter, Browser-Daten und Krypto-Wallets.

macOS 27 Beta 3: Design-Korrekturen und erweiterte Siri AI
Apple hat den dritten Testlauf von macOS 27 Golden Gate veröffentlicht. Der Fokus liegt auf optischen Feinanpassungen am Liquid-Glass-Design sowie einem Ausbau der visuellen KI-Funktionen von Siri.

iOS 27: Trust Insights soll Social Engineering auf dem iPhone erkennen
Mit iOS 27 führt Apple Trust Insights ein, ein Framework, das Apps dabei unterstützt, Social-Engineering-Angriffe zu erkennen. Die Analyse läuft lokal auf dem Gerät und gibt dabei sensibel mit den Daten der Nutzer um.

Apple preist Macs und iPads teurer – Analysten bleiben ruhig
Apple hat am 25. Juni 2026 Preiserhöhungen für Teile des Mac- und iPad-Sortiments bekanntgegeben. Die Aktie reagierte mit einem deutlichen Kursverlust von 4,8 Prozent, doch Analysten von Evercore ISI und Wedbush sehen die Maßnahme als notwendigen Schutz der Gewinnmarge.

Apple erhöht deutlich die Preise für fast alle Hardware-Produkte
Apple hat die Preise für nahezu das gesamte Hardwaresortiment angehoben, mit einer bemerkenswerten Ausnahme: Das aktuelle iPhone bleibt verschont. Die Mehrkosten reichen von 30 bis 500 Euro.
Kommentare
Sei der Erste, der hier kommentiert.
Du musst angemeldet sein, um zu kommentieren.