Warnung vor neuer macOS-Malware
Die Blockchain-Sicherheitsfirma SlowMist warnt vor einer hochgradig destruktiven neuen macOS-Infostealer, die als „MacSync Stealer“ (v1.1.2) bekannt ist. Diese aktive Malware-Kampagne zielt speziell auf Apple-Nutzer ab, um Kryptowährungs-Wallets zu leeren und hochsensible Zugangsdaten zu exfiltrieren. Täuschende Social-Engineering-Taktiken werden von böswilligen Akteuren eingesetzt, um die Abwehrmaßnahmen der Nutzer zu umgehen.
Funktionsweise der Malware
Die Malware verwendet gefälschte AppleScript-Systemdialoge, die legitime macOS-Passwortaufforderungen nachahmen, um die Anmeldedaten der Nutzer zu stehlen. Sobald das Opfer auf den Köder hereinfällt, exfiltriert die Malware die Daten im Hintergrund. Nach Abschluss der Datenextraktion zeigt der „MacSync Stealer“ eine gefälschte Fehlermeldung mit dem Hinweis „nicht unterstützt“ an, um keinen Verdacht zu erregen. Dadurch scheint es, als ob die Anwendung einfach nicht gestartet werden konnte.
Zielgruppen der Malware
Neben Krypto-Nutzern zielt die Malware auch auf Browser-Zugangsdaten, macOS-System-Keychains und kritische Infrastruktur-Schlüssel ab, einschließlich SSH, AWS und Kubernetes (K8s)-Zugangsdaten.
Ähnliche Malware-Kampagnen
Dies ist kein Einzelfall: Das Sicherheitsteam von Bybit hat kürzlich eine Malware-Kampagne aufgedeckt, die macOS-Nutzer anspricht, die nach Claude Code suchen. Zudem hat Microsoft Threat Intelligence eine hochgradig zielgerichtete macOS-Kampagne entdeckt, die von „Sapphire Sleet“, einem bekannten staatlich geförderten Bedrohungsakteur aus Nordkorea, orchestriert wird. Sapphire Sleet nutzt fortgeschrittenes Social Engineering, um sich als legitime macOS-Software-Updates auszugeben und Krypto-Wallets zu stehlen.
Ein weiteres Beispiel ist die Malware „Infinity Stealer“, die zeigt, wie Windows-zentrierte Angriffsmethoden für macOS angepasst werden. Sie verwendet die Technik „ClickFix“, um den Opfern eine gefälschte CAPTCHA-Seite zu präsentieren. Das Cybersicherheitsunternehmen SOC Prime hat zudem „MioLab“ identifiziert, einen kommerziell vertriebenen macOS-Infostealer, der speziell entwickelt wurde, um hochkarätige Opfer, einschließlich Krypto-Besitzer, ins Visier zu nehmen.
