Die besten Krypto-Einblicke direkt in Ihren Posteingang.
Benutzerdaten wurden bereits gestohlen, da eine neue MacSync-Variante die macOS-Sicherheit umgeht
- Der MacSync Stealer hat sich von einer ClickFix-Variante zu einer ausgefeilteren, code-signierten Malware weiterentwickelt, die in der Lage ist, herkömmliche macOS-Sicherheitsmaßnahmen zu umgehen.
- Die Schadsoftware lädt unbemerkt Schadcode herunter und führt ihn aus, wodurch eine erhebliche Bedrohung für macOS-Benutzer entsteht.
- Die Entwicklerteam-ID, die zur Verbreitung der schädlichen Nutzdaten verwendet wurde, wurde Apple gemeldet.
Bei der Überprüfung der Erkennungen durch die internen YARA-Regeln behauptet Jamf Threat Labs, einen signierten und notariell beglaubigten Stealer beobachtet zu haben, der nicht den in der Vergangenheit üblichen Ausführungsketten folgte.
Laut 23pds von Slowmist handelt es sich bei diesem Stealer um eine neue Variante des MacSync-Variante, die dafür bekannt ist, die macOS-Sicherheit zu umgehen.
Slowmist behauptet, Nutzerdaten seien bereits gestohlen worden
In einem X-Post behauptete 23pds, Chief Information Security Officer von Slowmist, dass es eine neue Variante von MacSync gibt, die das macOS-Gatekeeper-Sicherheitssystem umgeht und bereits die Daten vieler Benutzer gestohlen hat.
Laut 23pds nutzt diese Variante Techniken wie das Aufblähen von Dateien, die Überprüfung von Netzwerkverbindungen und Selbstzerstörungsskripte nach der Ausführung, um einer Entdeckung zu entgehen. Sie kann Berichten zufolge sensible Daten wie iCloud-Schlüsselbunde, Browserpasswörter und Krypto-Wallets stehlen.
Die Warnung war einem Blogbeitrag von Jamf Threat Labs beigefügt, in dem berichtet wurde, dass dies nicht der erste Kontakt mit MacSync sei.
Die auf macOS abzielende Malware zum Datendiebstahl tauchte Berichten zufolge erstmals im April 2025 unter dem Namen „Mac.C“ auf und wurde von einem Bedrohungsakteur namens „Mentalpositive“ entwickelt. Kurz darauf wurde sie in MacSync umbenannt und gewann schnell an tracunter Cyberkriminellen.
Um sich davor zu schützen, laden Sie Apps nur aus dem Mac App Store oder von vertrauenswürdigen Entwickler-Websites herunter, halten Sie Ihr macOS und Ihre Apps auf dem neuesten Stand, verwenden Sie seriöse Antiviren-/Endpoint-Security-Tools, die macOS-Bedrohungen erkennen, und seien Sie vorsichtig mit unerwarteten .dmg-Dateien oder Installationsprogrammen, insbesondere solchen, die Krypto- oder Messaging-Tools versprechen.
Gibt es eine neue MacSync-Malware?
Die fragliche Malware-Probe ähnelte Berichten zufolge stark früheren Varianten der zunehmend aktiven MacSync Stealer-Malware, wurde aber in ihrem Design überarbeitet. Sie unterschied sich von früheren MacSync Stealer-Varianten, die hauptsächlich auf Drag-to-Terminal- oder ClickFix-ähnliche Techniken setzten, durch einen subtileren, automatisierten Ansatz.
Das Beispiel wird angeblich als signierte und notariell beglaubigte Swift-Anwendung in einem Disk-Image mit dem Namen zk-call-messenger-installer-3.9.2-lts.dmg bereitgestellt und über https://zkcall.net/download verbreitet
Dadurch entfällt die Notwendigkeit einer direkten Interaktion mit dem Terminal. Stattdessen ruft der Dropper ein kodiertes Skript von einem Remote-Server ab und führt es über eine in Swift erstellte Hilfsdatei aus
Die Jamf Threat Labs beobachteten außerdem, dass der Odyssey-Infostealer in neueren Varianten ähnliche Verbreitungsmethoden anwendet. Sie zeigten sich überrascht, dass die bekannte Anweisung zum Öffnen per Rechtsklick auch in der neuen Version noch vorhanden ist, obwohl die ausführbare Datei signiert ist und diesen Schritt eigentlich nicht erfordert.
„Nach Prüfung der Mach-O-Binärdatei, die ein universeller Build ist, konnten wir bestätigen, dass sie sowohl codesigniert als auch notariell beglaubigt ist. Die Signatur ist mit der Entwicklerteam-ID GNJLS3UYZ4 verknüpft“, behaupteten sie.
Sie überprüften die Hashwerte der Codeverzeichnisse anhand der Sperrliste von Apple und stellten fest, dass zum Zeitpunkt der Analyse keine Einträge gesperrt waren.
Eine weitere bemerkenswerte Beobachtung betrifft die ungewöhnlich große Größe des Disk-Images (25,5 MB), die ihrer Aussage nach durch im App-Bundle eingebettete Köderdateien aufgebläht zu sein scheint.
Zum Zeitpunkt der Analyse wurden einige der auf VirusTotal hochgeladenen Dateien nur von einem Antivirenprogramm erkannt, andere hingegen von bis zu dreizehn. Nachdem Jamf Threat Labs bestätigt hatte, dass die Entwicklerteam-ID zur Verbreitung schädlicher Dateien verwendet wurde, meldete das Unternehmen dies Apple. Das zugehörige Zertifikat wurde daraufhin widerrufen.
Wenn Sie das hier lesen, sind Sie schon einen Schritt voraus. Bleiben Sie mit unserem Newsletter auf dem Laufenden.
Haftungsausschluss. Die bereitgestellten Informationen stellen keine Anlageberatung dar. Cryptopolitan/ übernimmt keine Haftung für Investitionen, die auf Grundlage der Informationen auf dieser Seite getätigt werden. Wirtronempfehlen dringend, vor jeder Anlageentscheidung eigene Recherchen durchzuführendent oder einen qualifizierten Fachmann zu konsultieren
Hannah Collymore
Hannah ist Autorin und Redakteurin mit fast zehn Jahren Erfahrung im Bloggen und der Eventberichterstattung im Kryptobereich. Bei Cryptopolitanschreibt sie für die Nachrichtenseite und berichtet und analysiert die neuesten Entwicklungen in den Bereichen DeFi, RWA, Kryptoregulierung, KI und Zukunftstechnologien. Sie hat an der Arcadia University Betriebswirtschaftslehre studiert.
CRASH-KURS
- Mit welchen Kryptowährungen kann man Geld verdienen?
- Wie Sie Ihre Sicherheit mit einer digitalen Geldbörse erhöhen können (und welche sich tatsächlich lohnen)
- Wenig bekannte Anlagestrategien, die Profis anwenden
- Wie man mit dem Investieren in Kryptowährungen beginnt (welche Börsen man nutzen sollte, welche Kryptowährung am besten zum Kauf geeignet ist usw.)