Eine neue Schadsoftware für macOS sorgt derzeit bei Sicherheitsexperten für Alarmstimmung. Der sogenannte „CrashStealer“ tarnt sich als legitime Apple-Komponente, um Nutzer zur Preisgabe sensibler Berechtigungen zu bewegen – und greift anschließend Passwörter, Kryptowährungen sowie persönliche Dokumente ab. Besonders gefährlich: Die Malware wirkt auf den ersten Blick vollkommen vertrauenswürdig.
Viele Mac-Nutzer verlassen sich auf das Sicherheitsversprechen von Apple. Doch genau dieses Vertrauen macht sich eine neue Schadsoftware zunutze. Sicherheitsforscher des MDM-Spezialisten Jamf haben eine bislang unbekannte macOS-Malware entdeckt, die sich als Apples CrashReporter ausgibt – jenes Systemwerkzeug, das nach Programmabstürzen Fehlermeldungen anzeigt.
Der auf den Namen CrashStealer getaufte Infostealer verfolgt dabei ein klares Ziel: möglichst unbemerkt an wertvolle Daten zu gelangen. Gelingt die Infektion, beginnt die Malware damit, Passwörter, Zugangsdaten und sensible Informationen aus dem System auszulesen. Betroffen sind unter anderem zahlreiche bekannte Passwortmanager, das Apple-Schlüsselbund sowie Daten verschiedener Kryptowährungs-Wallets. Zusätzlich durchsucht die Schadsoftware gezielt die Ordner Dokumente und Downloads nach potenziell interessanten Dateien.
Besonders heimtückisch: Die Daten verschwinden verschlüsselt
Anders als viele einfach gestrickte Schadprogramme gehen die Entwickler von CrashStealer äußerst professionell vor. Bevor gestohlene Daten das System verlassen, werden sie mithilfe der modernen Verschlüsselungsmethode AES-GCM verschlüsselt. Erst danach überträgt die Malware die Informationen über die Bibliothek libcurl an einen sogenannten Command-and-Control-Server der Angreifer.
Dieses Vorgehen erschwert nicht nur die Analyse der Schadsoftware, sondern kann auch Sicherheitslösungen vor zusätzliche Herausforderungen stellen. Zwar erinnert CrashStealer in seiner Arbeitsweise an bekannte macOS-Infostealer wie Atomic, laut Jamf handelt es sich jedoch um eine eigenständige Malware-Familie. Vor allem die vollständig in C++ entwickelte Schadsoftware sowie die clientseitige Verschlüsselung unterscheiden sie von bisherigen Varianten.
Tarnung als seriöse Meeting-Software
Besonders perfide ist die Art der Verbreitung. Entdeckt wurde CrashStealer in einer manipulierten Anwendung namens Werkbit, die sich als professionelle Meeting-Software ausgibt. Mit der gleichnamigen deutschen Unternehmenssoftware hat die App allerdings nichts zu tun.
Noch gefährlicher: Die gefälschte Anwendung war zunächst sogar mit einem gültigen Apple-Entwicklerzertifikat signiert. Für Nutzer bedeutete das, dass beim ersten Start keine der üblichen Warnmeldungen erschien, die normalerweise vor nicht vertrauenswürdiger Software schützen. Erst nachdem Jamf Apple über den Fund informiert hatte, wurde die zugehörige Developer Team ID deaktiviert.
Solche Fälle zeigen, dass selbst Apples Sicherheitsmechanismen nicht unfehlbar sind. Immer wieder gelingt es Cyberkriminellen, legitime Entwicklerzertifikate zu missbrauchen oder zu stehlen. Für Anwender entsteht dadurch eine trügerische Sicherheit: Eine digital signierte Anwendung wirkt seriös – obwohl sie in Wirklichkeit Schadsoftware enthält.
Die gefährliche Falle beginnt erst nach der Installation
Die eigentliche Infektion erfolgt nicht sofort. Stattdessen installiert CrashStealer zunächst eine gefälschte Version des Apple-Programms CrashReporter. Diese sieht dem Original täuschend ähnlich und fordert den Nutzer beim ersten Start dazu auf, ihr umfassende Systemrechte zu gewähren.
Unter anderem verlangt die Anwendung vollen Festplattenzugriff sowie die Eingabe des Administratorpassworts. Viele Nutzer könnten diese Aufforderung für legitim halten – schließlich stammen vergleichbare Abfragen auch von echten macOS-Komponenten.
Genau in diesem Moment erhalten die Angreifer jedoch Zugriff auf besonders sensible Bereiche des Systems. Anschließend beginnt die Malware damit, das Apple-Schlüsselbund auszulesen, gespeicherte Zugangsdaten zu kopieren und weitere vertrauliche Informationen zusammenzutragen.
Schwer zu erkennen als gewöhnliche Schadsoftware
Nach Einschätzung von Jamf wurde CrashStealer außergewöhnlich sorgfältig entwickelt. Die Malware arbeite deutlich unauffälliger als viele bekannte Infostealer und versuche, möglichst wenige Spuren zu hinterlassen. Dadurch steigt das Risiko, dass eine Infektion längere Zeit unbemerkt bleibt – insbesondere, wenn Nutzer die ungewöhnlichen Berechtigungsanfragen nicht hinterfragen.
Erste Hinweise auf die Schadsoftware tauchten bereits im Mai auf. Aktive Installationen konnten die Sicherheitsforscher jedoch noch im Juli beobachten. Das deutet darauf hin, dass die Malware über einen längeren Zeitraum im Umlauf war und möglicherweise weiterhin in angepassten Varianten verbreitet wird.
Hinweise auf gezielte Angriffe
Bislang ist unklar, auf welchem Weg CrashStealer verteilt wurde. Die bisherigen Erkenntnisse sprechen jedoch dafür, dass es sich nicht um eine breit angelegte Massenkampagne handeln könnte.
Auffällig ist, dass die gefälschte Werkbit-Anwendung vor der Installation die Eingabe einer Meeting-ID in Form einer PIN verlangte. Denkbar wäre daher folgendes Szenario: Ein potenzielles Opfer erhält eine vermeintliche Einladung zu einem Online-Meeting inklusive PIN und Download-Link. Wer der Aufforderung folgt, installiert unbemerkt die Schadsoftware – und öffnet den Angreifern damit die Tür zu Passwörtern, Wallets und persönlichen Dokumenten.
Gerade diese Kombination aus glaubwürdiger Tarnung, gültiger Apple-Signatur und gezieltem Social Engineering macht CrashStealer zu einer besonders ernst zu nehmenden Bedrohung. Der Fall zeigt einmal mehr, dass selbst auf dem Mac nicht allein die technischen Schutzmechanismen über die Sicherheit entscheiden. Eine einzige unbedachte Bestätigung einer Berechtigungsanfrage kann ausreichen, um Angreifern Zugriff auf die sensibelsten Daten eines Systems zu verschaffen.
Fazit
CrashStealer zeigt, wie professionell moderne macOS-Malware inzwischen vorgeht. Durch die Kombination aus glaubwürdiger Tarnung, gültiger Apple-Signatur und geschicktem Social Engineering kann die Schadsoftware selbst erfahrene Nutzer täuschen. Der Fall macht deutlich, dass auch auf dem Mac Vorsicht geboten ist: Apps sollten ausschließlich aus vertrauenswürdigen Quellen stammen, und ungewöhnliche Berechtigungsanfragen oder die Eingabe des Administratorpassworts sollten stets kritisch hinterfragt werden.
Bleib dran:
Wenn dich solche Themen rund um Apple, iPhone & Co. interessieren, lohnt es sich, unseren Blog im Auge zu behalten – hier gibt’s regelmäßig verständliche Einblicke in die Tech-Welt.

Kommentar posten
You must be logged in to post a comment.