Neue MacSync-Malware umgeht macOS Gatekeeper, um Kryptodaten zu stehlen

Eine neue Variante der MacSync-Malware richtet sich aktiv gegen macOS-Nutzer. Sicherheitsexperten warnen, dass sie die integrierten Schutzmechanismen von Apple umgehen kann. Sie ist in der Lage, sensible Daten zu stehlen, darunter auch Kryptowährungs-Wallets. Die Warnung kam von SlowMist, nachdem der Chief Information Security Officer des Unternehmens berichtete, dass einige Nutzer bereits Vermögensverluste erlitten haben. Die Malware markiert einen Anstieg der Bedrohungskomplexität auf macOS. Im Gegensatz zu älteren Versionen kann diese Variante unentdeckt bleiben und gleichzeitig für das Betriebssystem legitim erscheinen.

Wie die Malware macOS-Sicherheitsmaßnahmen umgeht

Die neue MacSync-Variante kann den macOS-Gatekeeper umgehen, ein System, das nicht vertrauenswürdige Anwendungen blockiert. Laut Forschern nutzt die Malware mehrere Schichten von Techniken, um nicht erkannt zu werden. Dazu gehören etwa aufgeblähte Dateien, um bösartigen Code zu tarnen, Netzwerküberprüfungen zur Bestätigung der Ausführungsumgebung und Selbstzerstörungs-Skripte, die Spuren nach der Ausführung entfernen.

Die Malware hinterlässt dadurch oft nur geringe Spuren auf der Festplatte. Nach der Ausführung zielt sie auf besonders sensible Daten ab, darunter iCloud-Keychains, im Browser gespeicherte Passwörter und Dateien von Kryptowährungs-Wallets. In vielen Fällen erhalten Angreifer vollen Zugriff, bevor Nutzer überhaupt bemerken, dass etwas nicht stimmt.

Code-signierte Malware erhöht Risiko

Weitere Analysen von Jamf Threat Labs zeigen, dass sich die Malware in ihrer Verbreitungsweise weiterentwickelt hat. Frühere MacSync-Versionen setzten auf Social-Engineering-Tricks, etwa Drag-to-Terminal-Befehle oder manuelle Skriptausführung. Die neue Variante erscheint jedoch als code-signierte und notarized Swift-Anwendung. Sie wird in Disk-Image-Dateien verteilt, die wie legitime Installer aussehen. So passiert sie erste macOS-Prüfungen, ohne Warnungen auszulösen.

Nach dem Start lädt die Anwendung unauffällig ein zweites Payload herunter und führt es aus. Ein Großteil dieser Aktivitäten läuft im Arbeitsspeicher, wodurch die Erkennung durch herkömmliche Antiviren-Tools erschwert wird. Forscher sehen darin einen breiteren Trend: Immer mehr macOS-Malware nutzt signierte und notarized Executables, um vertrauenswürdig zu wirken und die Entdeckung zu verzögern.

Krypto-Wallets bleiben Hauptziel

Der Fokus der Malware auf Krypto-Wallets unterstreicht die steigenden Risiken für digitale Vermögenswerte. Sobald Angreifer private Schlüssel oder Wiederherstellungsdaten extrahieren, sind gestohlene Mittel meist nicht wiederherstellbar. Berichte zeigen, dass einige betroffene Nutzer Kryptowährungen kurz nach der Infektion verloren haben. Es gab keine Hinweise auf erzwungene Transaktionen oder Börsen-Hacks. Stattdessen griffen die Angreifer direkt von kompromittierten Geräten auf Wallets zu. Sicherheitsexperten warnen, dass Krypto-Nutzer besonders gefährdet sind, da viele Wallets, Browser-Erweiterungen und Zugangsdaten auf privaten Laptops ohne zusätzliche Schutzmaßnahmen gespeichert werden.

Empfehlungen für Nutzer

SlowMist rät macOS-Nutzern, Software oder Plugins nur aus vertrauenswürdigen Quellen herunterzuladen. Selbst Installer, die legitim erscheinen, können versteckte Risiken bergen. Experten empfehlen zudem, fortgeschrittene Schutztools zu aktivieren, Systeme aktuell zu halten und Kryptowährungen möglichst in Hardware-Wallets zu speichern. Jede unerwartete Installationsdatei oder Sicherheitsabfrage sollte mit Vorsicht behandelt werden. Angesichts verfeinerter Angriffstechniken ist macOS nicht länger ein risikoarmes Umfeld. Der Fall MacSync zeigt, dass selbst integrierte Schutzmechanismen umgangen werden können. Für Krypto-Nutzer bleibt Wachsamkeit daher unerlässlich.