PamStealer: Neue macOS-Malware prüft Passwörter vor dem Diebstahl
03.07.2026 - 01:16:34 | boerse-global.de
Sicherheitsforscher entdecken raffinierte Infostealer-Malware, die System-Login-Passwörter vor dem Datendiebstahl überprüft.
Eine neue Bedrohung für macOS-Nutzer sorgt in der Sicherheitsbranche für Aufsehen. Die von Jamf Threat Labs identifizierte Schadsoftware namens PamStealer geht einen ungewöhnlichen Weg: Sie validiert gestohlene Anmeldedaten direkt gegen das System, bevor sie sensible Daten abgreift. Das macht die Malware besonders gefährlich – denn nur funktionierende Passwörter werden weiterverwendet.
Tarnung als vertraute App
PamStealer wird über eine Kampagne verbreitet, die den legitimen Zwischenablage-Manager Maccy imitiert. Nichtsahnende Nutzer landen auf einer gefälschten Website und laden dort ein infiziertes Festplattenabbild herunter. Einmal geöffnet, beginnt der Angriff.
Der zweistufige Infektionsprozess ist raffiniert aufgebaut: In der ersten Stufe kommt AppleScript in Kombination mit einem JXA-Dropper (JavaScript for Automation) zum Einsatz. Erst nach erfolgreicher Ausführung wird die eigentliche Schadsoftware nachgeladen – programmiert in Rust. Branchenkenner sehen darin einen klaren Trend: Die Wahl der Programmiersprache erschwert Analysen und umgeht herkömmliche Erkennungsmechanismen.
Um dauerhaft auf dem System zu bleiben, verankert sich PamStealer in den Login-Items des Rechners. Zudem umgeht die Malware Apples Sicherheitsmechanismen – etwa das „com.apple.quarantine"-Attribut – durch geschickte Tastenkombinationen.
Die PAM-Methode: Passwort-Prüfung vor dem Diebstahl
Das Herzstück von PamStealer ist die Nutzung von Apples Pluggable Authentication Modules (PAM). Bevor die Malware Daten abgreift, prüft sie das eingegebene Login-Passwort gegen das System. So stellen die Angreifer sicher, dass die erbeuteten Zugangsdaten tatsächlich funktionieren.
Die Liste der abgegriffenen Daten ist lang:
- Browser-Cookies, Chronik und gespeicherte Zugangsdaten
- SQLite-Datenbanken und Zwischenablage-Inhalte
- Kryptowährungs-Wallets
Angesichts von rund 4,7 Millionen gehackten Online-Konten pro Quartal in Deutschland wird der klassische Passwort-Schutz immer riskanter. Dieser kostenlose Report zeigt Ihnen, wie Sie mit der neuen Passkey-Technologie Ihre Logins bei Amazon, WhatsApp und Co. endlich hacker-sicher machen. Passkey-Ratgeber jetzt kostenlos anfordern
Um nicht aufzufallen, tarnt sich die zweite Stufe der Malware als macOS-Finder. Zudem verzögert sie die Anfrage nach „Vollzugriff auf das Dateisystem" um bis zu 40 Minuten und verschlüsselt den gesamten Datenverkehr zu den Kommando-Servern.
ClickFix: Neue Angriffsmethode erreicht macOS
Die Entdeckung von PamStealer fällt in eine Zeit zunehmender Bedrohungen für macOS. Jamf Threat Labs berichtet von einer „ClickFix"-Kampagne, bei der ein verifizierter Account auf der Plattform X eine gefälschte App bewarb. Nutzer wurden aufgefordert, Terminal-Befehle einzufügen – mit verheerenden Folgen. Die Methode lieferte unter anderem die Schädlinge Atomic Stealer und DigitStealer aus.
Laut einer Untersuchung von ReliaQuest aus dem Frühjahr 2025 machten ClickFix-Techniken fast 15 Prozent aller Erstzugriffe und 28 Prozent der Umgehungsversuche von Sicherheitsmaßnahmen aus. Die Methode hat nun erfolgreich den Sprung ins macOS-Ökosystem geschafft.
Herkömmliche Passwörter sind oft die größte Schwachstelle und ein Einfallstor für moderne Infostealer-Malware. Erfahren Sie in diesem kostenlosen Leitfaden, wie Sie Ihre Konten durch biometrische Anmeldung komplett absichern und so Datendieben keine Chance mehr lassen. Gratis-Report: Passwortlos und sicher anmelden
Schutzmaßnahmen und Branchenreaktion
Browser-Entwickler Opera hat diese Woche eine neue Funktion namens „Paste Protect" eingeführt. Das Tool scannt kopierte Inhalte auf schädliche Muster und blockiert unbefugte Operationen – auf Windows, macOS und Linux.
Parallel dazu hat Jamf einen neuen Threat-Hunting-Dienst namens Beacon gestartet. Jaron Bradley, Direktor bei Jamf Threat Labs, warnt: Infostealer-Malware stelle derzeit die größte Bedrohung für macOS-Umgebungen dar. Zwar beschleunige Künstliche Intelligenz die Entwicklung solcher Schädlinge, doch biete sie auch neue Werkzeuge für die Verteidiger, um schädliche Aktivitäten zu identifizieren.
