MacSync-Malware nutzt Apples Sicherheitssystem aus

Eine neue, hochgefährliche Variante der MacSync-Malware umgeht Apples Sicherheitsbarrieren. Sie tarnt sich als legitime Software und bedroht Unternehmensdaten. Der Vorfall stellt die gängige Praxis in Frage, notarisierte Apps automatisch als sicher einzustufen.

Die Bedrohung ist tückisch: Die Schadsoftware wird als Installationsdatei für den Messenger “zk-Call & Messenger” verteilt. Das Entscheidende: Die Anwendung war mit einer gültigen Apple-Developer-ID signiert und hatte den automatisierten Notarisierungsprozess von Apple erfolgreich durchlaufen. Für Nutzer und die Sicherheitssoftware Gatekeeper sah alles nach einer vertrauenswürdigen Installation aus.

“Dies ist ein ‘hands-off’-Infektionsweg”, erklärt ein Forscher von Jamf Threat Labs, die den Fund diese Woche detailliert beschrieben. “Weil die App notarisiert ist, validiert Gatekeeper sie als sicher. Der Nutzer sieht keine Warnung und startet die Infektion mit einem Doppelklick.”

Nach der Ausführung wartet der Schädling etwa eine Stunde, bevor er seine eigentliche Nutzlast nachlädt – eine Taktik, um Sandbox-Analysen zu umgehen.

Passend zum Thema IT-Sicherheit: Wenn notarisierte Apps wie im Fall MacSync genutzt werden, reicht klassische Signaturprüfungen oft nicht mehr aus. Viele Unternehmen übersehen einfache Schutzmaßnahmen, die Angriffe trotzdem frühzeitig stoppen können – etwa EDR-Systeme, Zero‑Trust-Prinzipien und gezielte Security-Awareness für Mitarbeiter. Ein kostenloses Praxis‑E‑Book fasst aktuelle Gefahren und sofort umsetzbare Verteidigungsmaßnahmen zusammen. Jetzt kostenlosen Cyber‑Security‑Guide herunterladen

Vom Nutzer-Trick zur zertifizierten Bedrohung

Die Entwicklung von MacSync zeigt eine beunruhigende Reifung. Frühere Versionen aus dem Frühjahr 2025, damals als “Mac.c” bekannt, verlangten noch von Nutzern, bösartige Skripte manuell im Terminal auszuführen. Diese “ClickFix”-Methode weckte oft Misstrauen.

Die neue Variante, die der Bedrohungsakteur ‘Mentalpositive’ zugeschrieben wird, nutzt dagegen den Vertrauensvorschuss aus, den Apples eigenes Sicherheitsökosystem genießt. “Angreifer versuchen zunehmend, ihre Malware in signierte und notarisierte Programme einzuschleusen, um wie legitime Apps auszusehen”, warnt Jamf in einer Mitteilung.

Für IT-Abteilungen ist das ein Alarmsignal. Viele Richtlinien stufen notarisierte Apps automatisch als vertrauenswürdig ein. MacSync beweist: Eine gültige Signatur ist eine notwendige, aber keine hinreichende Garantie für Sicherheit.

So erkennen und stoppen Sie die Bedrohung

Apple hat die betrügerische Developer-ID (GNJLS3UYZ4) zwischenzeitlich gesperrt. Dennoch sollten Administratoren wachsam bleiben.

Wichtige Erkennungsmerkmale (IoCs):
* Schädlicher Installer: zk-call-messenger-installer-3.9.2-lts.dmg
* Verteilungs-Domain: zkcall[.]net
* Auffälliges Verhalten: Die DMG-Datei ist mit rund 25,5 MB ungewöhnlich groß, da sie mit irrelevanten PDF-Dokumenten aufgebläht wurde, um ihre Prüfsumme zu verschleiern.

Das Ziel der Malware ist klar: Diebstahl sensibler Daten. Sie durchsucht die macOS-Keychain nach Passwörtern, Browser-Cookies und – mit besonderem Fokus – nach Zugangsdaten für Kryptowährungs-Wallets. Die Blockchain-Sicherheitsfirma SlowMist warnte die Crypto-Community bereits speziell vor bereits erfolgten Diebstählen.

IT-Teams sollten die bekannten Domains blockieren und Endpoint-Detection-and-Response-Lösungen (EDR) nutzen. Diese können verdächtiges Verhalten wie die Erstellung einer UserSyncWorker.log-Datei oder unautorisierte Netzwerkverbindungen durch signierte Swift-Apps erkennen.

Analyse: Ein Weckruf für die IT-Sicherheit

Der Fall MacSync ist eine deutliche Mahnung: Compliance ist nicht gleichbedeutend mit Sicherheit. macOS galt im Unternehmensumfeld lange als sicherere Alternative zu Windows, nicht zuletzt wegen Gatekeeper. Mit der wachsenden Verbreitung steigt aber auch das Interesse von Cyberkriminellen, diese Verteidigung zu knacken.

Besonders “Bring Your Own Device” (BYOD)-Richtlinien geraten unter Druck. Wenn ein Nutzer eine notarisierte, aber bösartige App installiert, versagen traditionelle Kontrollen. “Die Abhängigkeit von Apples Notarisierung als alleinige Wahrheitsquelle ist ein Schwachpunkt”, sagt Sicherheitsanalyst Mark Stevenson. “Unternehmen müssen signierte Binärdateien unbekannter Anbieter mit der gleichen Skepsis behandeln wie unsignierten Code.”

Apples Widerruf des Zertifikats beendet diese spezifische Kampagne. Die Methode bleibt jedoch gefährlich. Sie zeigt, dass der automatisierte Notarisierungsprozess getäuscht werden kann – vermutlich, weil die schädliche Nutzlast dynamisch nach der Überprüfung durch Apple nachgeladen wird.

Blick nach vorn: Der Wettlauf geht weiter

Für 2026 ist zu erwarten, dass Apple seinen Notarisierungsprozess verschärfen wird, etwa durch strengere dynamische Analysen oder eine restriktivere Vergabe von Developer-Konten. Das Katz-und-Maus-Spiel wird jedoch andauern.

Experten prognostizieren, dass Malware-Autoren zunehmend “Living-off-the-Land”-Techniken mit gültigen Signaturen kombinieren werden. Sie nutzen dann legitime Systemwerkzeuge für ihre Zwecke und tarnen sich im normalen Systembetrieb. Für IT-Verantwortliche ist die Lehre aus MacSync klar: Die Prinzipien von Zero Trust müssen bis auf die Anwendungsebene ausgedehnt werden – unabhängig von einer digitalen Signatur.

PS: Überlastete IT-Teams brauchen pragmatische, sofort umsetzbare Empfehlungen. Das kostenlose E‑Book “Cyber Security Awareness Trends” erklärt aktuelle Angriffsvektoren, relevante Schutzmaßnahmen (inklusive EDR‑Konfigurationen und Mitarbeiterschulungen) und welche Prioritäten jetzt gesetzt werden sollten – auch mit Blick auf neue Compliance‑Anforderungen. Kostenloses E‑Book zu Cyber Security herunterladen