PamStealer: Neue Malware stiehlt Passwörter auf Apple-Macs
04.07.2026 - 01:44:56 | boerse-global.de
Sicherheitsforscher von Jamf Threat Labs haben eine hochentwickelte Schadsoftware entdeckt, die gezielt Nutzer von Apple-Silicon-Rechnern attackiert. Der als PamStealer bezeichnete Infostealer wurde in Berichten vom 2. und 3. Juli 2026 vorgestellt und zeichnet sich durch eine besondere Absicherung aus: Er prĂĽft gestohlene Zugangsdaten in Echtzeit auf ihre GĂĽltigkeit, bevor sie an die Angreifer ĂĽbermittelt werden.
Tarnung als nĂĽtzliches Werkzeug
Die Verteilung der Malware erfolgt über eine täuschend echt gestaltete Webseite, die das offizielle Portal des Open-Source-Tools Maccy nachahmt. Maccy ist ein beliebtes Programm zur Verwaltung der Zwischenablage. Während die echte Anwendung unter maccy.app zu finden ist, nutzten die Angreifer eine sogenannte Typosquatting-Domain – maccyapp[.]com – um Nutzer zum Herunterladen einer manipulierten Version zu bewegen.
Sobald ein Anwender die gefälschte Applikation startet, beginnt der Infektionsprozess. Die Sicherheitsforscher betonen, dass PamStealer ausschließlich auf Systeme mit Apples M-Serie-Chips abzielt. Ältere Intel-basierte Macs bleiben bewusst verschont. Zudem enthält die Software eine geografische Sperre: Systeme in der Gemeinschaft Unabhängiger Staaten (GUS) werden von der Infektion ausgenommen.
Zweistufige Angriffskette und PAM-PrĂĽfung
Die technische Architektur von PamStealer ist komplex. Der Angriff läuft in zwei Phasen ab: In der ersten Stufe kommt ein AppleScript-Dropper in Kombination mit JavaScript for Automation (JXA) zum Einsatz, der die eigentliche Schadsoftware nachlädt und startet. Diese zweite Stufe ist ein in der Programmiersprache Rust geschriebenes Binary, das speziell für die arm64-Architektur kompiliert wurde.
Das namensgebende Merkmal der Malware ist die Nutzung der Pluggable Authentication Modules (PAM) – einer nativen macOS-Systemkomponente. Über diese Schnittstelle kann PamStealer in Echtzeit überprüfen, ob ein gestohlenes Passwort tatsächlich korrekt ist. Erst nach erfolgreicher Validierung werden die Daten abgegriffen. Diese Vorgehensweise unterscheidet PamStealer von herkömmlichen Infostealern, die oft wahllos Daten sammeln.
PamStealer nutzt eine gefälschte Maccy-Seite, um Passwörter auf Apple Silicon Macs zu stehlen. Mit unserer Schritt-für-Schritt-Anleitung erkennen Sie die Fälschung und schützen Ihre Daten. Jetzt kostenlosen Schutz-Report anfordern
Raffinierte Tarnung und Persistenz
Um der Entdeckung zu entgehen, setzt PamStealer auf mehrere Tricks:
- Verzögerte Berechtigungsanfrage: Die Malware wartet mit der Anfrage für den Vollzugriff auf die Festplatte bis zu 40 Minuten. Die Sicherheitsexperten vermuten, dass diese Verzögerung den bösartigen Vorgang vom eigentlichen App-Start trennen soll – der Nutzer soll den Dialog für weniger verdächtig halten.
- System-Imitation: Für die dauerhafte Verankerung im System tarnt sich PamStealer als wichtige Systemprozesse. Häufig erstellt sie eine gefälschte Version der Finder-Applikation oder versteckt sich in den Anmeldeobjekten, um nach einem Neustart wieder aktiv zu werden.
- Native API-Nutzung: Statt auf leicht erkennbare Shell-Befehle zu setzen, verwendet der Rust-Code native Programmierschnittstellen. Das macht die Aktivitäten für viele Sicherheitswerkzeuge schwerer erkennbar.
Umfang des Datendiebstahls
Die Malware prüft gestohlene Passwörter in Echtzeit – bevor Sie etwas merken. Unser Report zeigt, wie Sie PamStealer blockieren und Ihre macOS-Sicherheit in 3 Schritten härten. Mac-Sicherheits-Checkliste jetzt sichern
Das Hauptziel von PamStealer ist der umfassende Diebstahl sensibler persönlicher und finanzieller Daten. Die Malware greift auf Browserdaten zu – darunter gespeicherte Zugangsdaten und Cookies aus SQLite-Datenbanken – sowie auf Einträge aus dem Schlüsselbund und verschiedene Kryptowährungs-Wallets. Zudem überwacht sie mit dem pbpaste-Befehl die System-Zwischenablage, um kopierte sensible Informationen abzugreifen.
Die gestohlenen Daten werden mit dem ChaCha20-Poly1305-Verschlüsselungsalgorithmus gesichert. Die verschlüsselten Pakete werden dann an einen Kommando-und-Kontroll-Server gesendet, den die Forscher unter avenger-sync[.]live identifizierten. Die Analyse der Netzwerkaktivität offenbarte zudem Kommunikation mit Ethereum-RPC-Endpunkten – ein deutlicher Hinweis auf das spezifische Interesse der Angreifer an digitalen Vermögenswerten.
