PamStealer: Neue macOS-Malware verifiziert Passwörter lokal
Veröffentlicht: 04.07.2026 um 18:25 Uhr, Redaktion boerse-global.de
Sicherheitsforscher von Jamf Threat Labs haben eine neue Schadsoftware für Apples Betriebssystem entdeckt, die gestohlene Passwörter lokal verifiziert, bevor sie die Daten abgreift.
Die Malware mit dem Namen „PamStealer“ nutzt eine raffinierte Methode: Sie bedient sich der legitimen Pluggable Authentication Module (PAM)-Schnittstelle von Apple, um die Richtigkeit eines eingegebenen Passworts zu bestätigen. Erst dann werden die Daten an einen Kommando-Server übermittelt. Das berichteten die Forscher am 3. Juli 2026.
Verbreitung über gefälschte Maccy-Domains
Die Schadsoftware wird hauptsächlich über Typosquatting-Domains verbreitet, die das legitime Open-Source-Programm Maccy – einen Zwischenablage-Manager für macOS – imitieren. Die Forscher identifizierten die Seiten maccyapp[.]com und maccyapp[.]net als Verteilungsplattformen. Der offizielle Entwickler von Maccy stellte klar: Die einzige vertrauenswürdige Quelle ist maccy.app.
Der Infektionsprozess beginnt mit dem Download eines manipulierten Datenträgerabbilds, das eine AppleScript-Datei enthält. Das Installationsprogramm fordert den Nutzer auf, das Skript im macOS Script Editor zu öffnen und per Tastenkombination auszuführen. Diese Methode umgeht die Gatekeeper-Sicherheitsfunktionen, da das Skript innerhalb einer vertrauenswürdigen Systemanwendung läuft.
Technische Details: Gezielte Angriffe auf Apple Silicon
Die erste Infektionsstufe nutzt einen JavaScript for Automation (JXA)-Downloader. Um Sicherheitslösungen zu umgehen, die gängige Kommandozeilen-Tools wie curl oder zsh überwachen, verwendet der Downloader die NSURLSession-API.
Während der Ausführung prüft die Malware die Systemumgebung:
- Sie zielt gezielt auf Macs mit Apple-Silicon-Prozessoren ab
- Bei Intel-basierten Systemen wird sie sofort beendet
- Die Malware verfügt über Geofencing-Funktionen: Sie prüft die Systemsprache, das Tastaturlayout und die Zeitzone
- In elf osteuropäischen Ländern (darunter Russland, Belarus und Kasachstan) stellt sie ihre Aktivität ein
Die PAM-API: Passwortprüfung auf Systemebene
PamStealer nutzt Apples eigene PAM-Schnittstelle, um gestohlene Passwörter lokal zu verifizieren – und umgeht dabei Gatekeeper. Mit der richtigen Checkliste können Sie sich schützen. Jetzt kostenlosen Schutz-Leitfaden anfordern
Besteht die Malware die Umgebungschecks, lädt sie eine zweite Stufe nach – geschrieben in der Programmiersprache Rust. Diese Binärdatei tarnt sich oft als legitime Systemprozesse wie Finder oder Software Update.
Das besondere Merkmal von PamStealer: Sie verwendet die PAM-API-Funktionen pam_start, pam_authenticate und pam_end. Wenn die Malware den Nutzer zur Eingabe des Systempassworts auffordert, prüft sie die Eingabe über diese legitimen Apple-Schnittstellen gegen das lokale System. Gibt der Nutzer ein falsches Passwort ein, erscheint eine erneute Aufforderung. Erst wenn das richtige Passwort bestätigt wurde, zeigt die Malware eine gefälschte Fehlermeldung an – das Programm sei beschädigt – und beginnt im Hintergrund mit dem Datendiebstahl.
Datenklau und Tarnung
Die Rust-Komponente sammelt ein breites Spektrum sensibler Daten:
- Browser-Cookies und gespeicherte Anmeldedaten aus SQLite-Datenbanken
- iCloud-Schlüsselbunddaten über das Security-Framework
- Zwischenablage-Inhalte
- Kryptowährungs-Wallets, insbesondere Ethereum-Konten
Um auf dem infizierten System präsent zu bleiben, nutzt PamStealer die SMAppService und ältere Login-Elemente. Die Forscher beobachteten zudem, dass die Malware bis zu 40 Minuten nach der Erstinfektion wartet, bevor sie vollen Festplattenzugriff anfordert – eine Taktik, um Verhaltensanalysen zu umgehen.
Die gesammelten Daten werden mit dem ChaCha20-Poly1305-Algorithmus verschlüsselt, bevor sie an die Angreifer-Infrastruktur gesendet werden.
Gefälschte Maccy-Domains verbreiten PamStealer. Wer die offizielle Quelle maccy.app nicht kennt, riskiert Datenklau. Dieser Leitfaden zeigt, wie Sie Typosquatting erkennen und Ihre Systeme absichern. Typosquatting-Erkennung jetzt sichern
Kein einfacher Patch in Sicht
Sicherheitsexperten betonen: Da die Malware für ihre Kernfunktionen legitime System-APIs verwendet, ist ein herkömmliches Software-Update zur Abwehr kaum möglich. Der Fokus liegt daher auf Wachsamkeit der Nutzer und leistungsfähigen Endpunkt-Schutzlösungen. Wer Maccy nutzen möchte, sollte unbedingt die offizielle Domain maccy.app verwenden und verdächtige Aufforderungen zur Passworteingabe kritisch hinterfragen.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
