macOS-Malware notnullOSX: Umgeht 2FA und stiehlt Krypto-Wallets
Veröffentlicht: 18.07.2026 um 12:32 Uhr, Redaktion boerse-global.de
Die als notnullOSX bekannte Malware zielt gezielt auf Kryptowährungs-Wallets und Messaging-Konten ab – und umgeht dabei selbst die Zwei-Faktor-Authentifizierung (2FA).
So umgeht die Malware den 2FA-Schutz
Das von Moonlock Lab entdeckte Schadprogramm ist in der Programmiersprache Go geschrieben und arbeitet mit austauschbaren Modulen. Besonders perfide: Ein Modul namens TelegramGrab kopiert einfach die authentifizierten Sitzungsdateien der Desktop-Version von Telegram. Wer diese Dateien auf einem anderen Gerät wiederherstellt, erhält vollen Zugriff auf das Konto – ohne Telefonnummer, ohne Bestätigungscode, ohne 2FA.
Ein zweites Modul namens ReplaceApp richtet sich gezielt gegen Nutzer von Hardware-Wallets. Es erkennt und entfernt die legitimen Installationen von Ledger Live und Trezor Suite und ersetzt sie durch manipulierte Kopien. Diese gefälschten Anwendungen fordern die Nutzer zur Eingabe ihrer 24-Wörter-Wiederherstellungsphrase auf – und leiten diese direkt an die Angreifer weiter.
Die Sicherheitsfirma SlowMist bestätigt die Ergebnisse. Die Malware sammelt demnach auch Daten aus dem macOS-Schlüsselbund, Safari-Cookies, Apple-Notizen und über einem Dutzend verschiedener Wallet-Datenbanken. Selbst wer 2FA aktiviert hat, ist nicht geschützt – die gestohlenen lokalen Sitzungsdateien machen diesen Schutz wirkungslos.
Wer im Visier steht und wie die Verbreitung läuft
Die Entwickler von notnullOSX, die mit dem Alias alh1mik und der Entität 0xFFF in Verbindung gebracht werden, haben es offenbar auf besonders lukrative Ziele abgeshen. Die Malware sucht gezielt nach Mac-Nutzern, die Kryptowerte von mehr als 10.000 US-Dollar (rund 9.100 Euro) halten.
Allein in Deutschland werden pro Quartal rund 4,7 Millionen Online-Konten gehackt, wobei herkömmliche Passwörter oft die größte Schwachstelle darstellen. Erfahren Sie in diesem kostenlosen Report, wie Sie sich mit der neuen Passkey-Technologie bei Diensten wie WhatsApp oder Amazon unknackbar absichern. Passkey-Guide für maximale Sicherheit kostenlos anfordern
Die Verbreitung erfolgt über raffinierte Methoden: Ein als "WallSpace" getarntes Festplatten-Abbild (DMG) oder gefälschte Fehlermeldungen eines angeblichen Google-API-Connectors verleiten die Nutzer zur Ausführung schädlicher Skripte. Erste Infektionen wurden am 30. März 2026 registriert, betroffen waren unter anderem Nutzer in Spanien, Taiwan und Vietnam.
Aggressive Taktik: ClickLock setzt Nutzer unter Druck
Eine weitere, ähnlich aggressive Schadsoftware namens ClickLock wurde kürzlich von Group-IB detailliert beschrieben. Seit Mai 2026 aktiv, wurde ClickLock bereits in 33 Ländern nachgewiesen, insbesondere in Europa. Die Malware nutzt sogenannte "ClickFix"-Kampagnen, um Nutzer zur Ausführung von Terminal-Befehlen zu verleiten.
Ist die Malware erst aktiv, setzt sie auf eine besonders dreiste Masche: Sie spamt alle 210 Millisekunden ein Passwort-Dialogfeld auf und beendet kritische Systemanwendungen wie den Finder und das Terminal – so lange, bis das Opfer seine Administrator-Anmeldedaten preisgibt. Einmal erbeutet, werden Browserdaten, FTP-Konfigurationen und Krypto-Wallet-Informationen über eine Telegram-Bot-Schnittstelle abgegriffen.
Klassische Passwörter bieten gegen moderne, aggressive Ausspäh-Methoden und Phishing-Versuche oft keinen ausreichenden Schutz mehr. Dieser Gratis-Ratgeber zeigt Ihnen Schritt für Schritt, wie Sie auf passwortlose Anmeldung umsteigen und Hacker-Angriffen keine Chance mehr lassen. Kostenlosen Report: Sicher und passwortlos anmelden herunterladen
Millionen-Schaden durch gefälschte App im Mac App Store
Die Gefahr für macOS-Nutzer wurde Mitte April 2026 auf dramatische Weise deutlich: Im offiziellen Mac App Store tauchte eine gefälschte Ledger Live-App auf. Veröffentlicht von einem Unternehmen namens Leva Heal Limited, erbeuteten die Betreiber rund 9,5 Millionen US-Dollar (etwa 8,6 Millionen Euro) von über 50 Opfern. Ein professioneller Musiker verlor dabei 5,92 Bitcoin – damals rund 424.000 US-Dollar (385.000 Euro) wert. Apple hat die betrügerische App inzwischen aus dem Store entfernt.
Branche in Alarmbereitschaft
Die neuen Bedrohungen kommen zu einem Zeitpunkt, an dem die Verluste durch digitale Vermögenswerte drastisch steigen. Laut Daten von Immunefi beliefen sich die Verluste durch Hacks und Sicherheitsverletzungen in der ersten Jahreshälfte 2026 auf rund 972 Millionen US-Dollar (etwa 884 Millionen Euro).
Sicherheitsexperten raten macOS-Nutzern, die eine Kompromittierung vermuten, umgehend alle aktiven Telegram-Sitzungen zu beenden und ihre Passwörter zu ändern. Wer Desktop-Krypto-Wallets nutzt, sollte auf einem sauberen, nicht kompromittierten Gerät neue Wiederherstellungsphrasen generieren und die Vermögenswerte auf neue Adressen übertragen. Grundsätzlich gilt: Jede Anwendung, die sensible Administratorrechte oder Wiederherstellungsphrasen anfordert, sollte genauestens auf ihre Echtheit geprüft werden.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
