PamStealer, Malware

PamStealer: Neue Malware stiehlt Passwörter auf Apple-Macs

04.07.2026 - 01:44:56 | boerse-global.de

Sicherheitsforscher entdecken Schadsoftware, die gestohlene Passwörter auf M-Serie-Macs in Echtzeit prüft.

PamStealer: Neue Malware attackiert gezielt Apple Silicon Macs
PamStealer - Stilisierte Schlosssymbol mit Glitch-Effekt ĂĽber Leiterplatte, schwaches Apple-Logo im Hintergrund, stellt macOS-Malware dar. 04.07.2026 - Bild: ĂĽber boerse-global.de

Sicherheitsforscher von Jamf Threat Labs haben eine hochentwickelte Schadsoftware entdeckt, die gezielt Nutzer von Apple-Silicon-Rechnern attackiert. Der als PamStealer bezeichnete Infostealer wurde in Berichten vom 2. und 3. Juli 2026 vorgestellt und zeichnet sich durch eine besondere Absicherung aus: Er prĂĽft gestohlene Zugangsdaten in Echtzeit auf ihre GĂĽltigkeit, bevor sie an die Angreifer ĂĽbermittelt werden.

Tarnung als nĂĽtzliches Werkzeug

Die Verteilung der Malware erfolgt über eine täuschend echt gestaltete Webseite, die das offizielle Portal des Open-Source-Tools Maccy nachahmt. Maccy ist ein beliebtes Programm zur Verwaltung der Zwischenablage. Während die echte Anwendung unter maccy.app zu finden ist, nutzten die Angreifer eine sogenannte Typosquatting-Domain – maccyapp[.]com – um Nutzer zum Herunterladen einer manipulierten Version zu bewegen.

Sobald ein Anwender die gefälschte Applikation startet, beginnt der Infektionsprozess. Die Sicherheitsforscher betonen, dass PamStealer ausschließlich auf Systeme mit Apples M-Serie-Chips abzielt. Ältere Intel-basierte Macs bleiben bewusst verschont. Zudem enthält die Software eine geografische Sperre: Systeme in der Gemeinschaft Unabhängiger Staaten (GUS) werden von der Infektion ausgenommen.

Zweistufige Angriffskette und PAM-PrĂĽfung

Die technische Architektur von PamStealer ist komplex. Der Angriff läuft in zwei Phasen ab: In der ersten Stufe kommt ein AppleScript-Dropper in Kombination mit JavaScript for Automation (JXA) zum Einsatz, der die eigentliche Schadsoftware nachlädt und startet. Diese zweite Stufe ist ein in der Programmiersprache Rust geschriebenes Binary, das speziell für die arm64-Architektur kompiliert wurde.

Das namensgebende Merkmal der Malware ist die Nutzung der Pluggable Authentication Modules (PAM) – einer nativen macOS-Systemkomponente. Über diese Schnittstelle kann PamStealer in Echtzeit überprüfen, ob ein gestohlenes Passwort tatsächlich korrekt ist. Erst nach erfolgreicher Validierung werden die Daten abgegriffen. Diese Vorgehensweise unterscheidet PamStealer von herkömmlichen Infostealern, die oft wahllos Daten sammeln.

Anzeige

PamStealer nutzt eine gefälschte Maccy-Seite, um Passwörter auf Apple Silicon Macs zu stehlen. Mit unserer Schritt-für-Schritt-Anleitung erkennen Sie die Fälschung und schützen Ihre Daten. Jetzt kostenlosen Schutz-Report anfordern

Raffinierte Tarnung und Persistenz

Um der Entdeckung zu entgehen, setzt PamStealer auf mehrere Tricks:

  • Verzögerte Berechtigungsanfrage: Die Malware wartet mit der Anfrage fĂĽr den Vollzugriff auf die Festplatte bis zu 40 Minuten. Die Sicherheitsexperten vermuten, dass diese Verzögerung den bösartigen Vorgang vom eigentlichen App-Start trennen soll – der Nutzer soll den Dialog fĂĽr weniger verdächtig halten.
  • System-Imitation: FĂĽr die dauerhafte Verankerung im System tarnt sich PamStealer als wichtige Systemprozesse. Häufig erstellt sie eine gefälschte Version der Finder-Applikation oder versteckt sich in den Anmeldeobjekten, um nach einem Neustart wieder aktiv zu werden.
  • Native API-Nutzung: Statt auf leicht erkennbare Shell-Befehle zu setzen, verwendet der Rust-Code native Programmierschnittstellen. Das macht die Aktivitäten fĂĽr viele Sicherheitswerkzeuge schwerer erkennbar.

Umfang des Datendiebstahls

Anzeige

Die Malware prüft gestohlene Passwörter in Echtzeit – bevor Sie etwas merken. Unser Report zeigt, wie Sie PamStealer blockieren und Ihre macOS-Sicherheit in 3 Schritten härten. Mac-Sicherheits-Checkliste jetzt sichern

Das Hauptziel von PamStealer ist der umfassende Diebstahl sensibler persönlicher und finanzieller Daten. Die Malware greift auf Browserdaten zu – darunter gespeicherte Zugangsdaten und Cookies aus SQLite-Datenbanken – sowie auf Einträge aus dem Schlüsselbund und verschiedene Kryptowährungs-Wallets. Zudem überwacht sie mit dem pbpaste-Befehl die System-Zwischenablage, um kopierte sensible Informationen abzugreifen.

Die gestohlenen Daten werden mit dem ChaCha20-Poly1305-Verschlüsselungsalgorithmus gesichert. Die verschlüsselten Pakete werden dann an einen Kommando-und-Kontroll-Server gesendet, den die Forscher unter avenger-sync[.]live identifizierten. Die Analyse der Netzwerkaktivität offenbarte zudem Kommunikation mit Ethereum-RPC-Endpunkten – ein deutlicher Hinweis auf das spezifische Interesse der Angreifer an digitalen Vermögenswerten.

de | wissenschaft | 69683581 |