CrashStealer, Malware

CrashStealer: Malware trickst Apples Gatekeeper aus

Veröffentlicht: 14.07.2026 um 13:34 Uhr, Redaktion boerse-global.de

Die Schadsoftware CrashStealer nutzt gültige Entwicklerzertifikate, um Kryptowährungen und Passwörter von Macs zu stehlen.

CrashStealer: Neue Mac-Malware umgeht Apples Gatekeeper-Schutz
Verschattete Gestalt in Kapuzenjacke tippt auf Laptop, umgeben von leuchtenden Codezeilen und digitalen Sicherheitssymbolen. Illustration mit AI erstellt übermittelt durch boerse-global.de

Sicherheitsforscher haben eine gefährliche Schadsoftware für Macs entdeckt, die Apples Schutzmechanismen austrickst.

Die als CrashStealer getaufte Malware nutzt gültige Entwicklerzertifikate und die offizielle Notarisierung von Apple, um den Gatekeeper-Schutz zu umgehen. Das Programm tarnt sich als legitimes Apple-Systemtool und zielt auf Kryptowährungs-Wallets, Passwort-Manager und Browser-Zugangsdaten ab.

Wie die Tarnung funktioniert

Die Schadsoftware wird über ein Disk-Image mit dem Namen Werkbit Setup verbreitet. Da die Anwendung unter dem Entwicklernamen Emil Grigorov signiert und notarisiert war, passierte sie Apples Gatekeeper – jene Sicherheitsfunktion, die eigentlich nur vertrauenswürdige Software auf dem Mac zulässt.

Die dazugehörige Domain werkbit[.]io wurde Ende Juni 2026 registriert. Die Verteilung erfolgte offenbar gezielt: Downloads waren nur mit einem Meeting-PIN möglich. Nach Meldungen von Sicherheitsanalysten hat Apple die Signatur-Zertifikate des Entwicklers widerrufen.

Technische Details: So arbeitet CrashStealer

Der in nativem C++ geschriebene Infostealer gibt sich als CrashReporter.app aus – ein vertrautes Apple-Systemtool. Nach der Ausführung installiert er sich dauerhaft über einen LaunchAgent namens com.apple.crashreporter.helper.

Anzeige

Die neue CrashStealer-Malware tarnt sich als Apple-Systemtool und stiehlt Krypto-Wallets sowie Passwörter. Mit unserer 3-Schritte-Checkliste erkennen Sie getarnte Schadsoftware und schützen Ihre Daten. Jetzt kostenlosen Sicherheits-Check anfordern

Die Malware durchforstet das System nach:

  • Zugangsdaten von über 80 Kryptowährungs-Wallets
  • Daten aus 14 verschiedenen Passwort-Managern
  • Browser-Anmeldedaten und Schlüsselbund-Informationen

Zur Datenübertragung nutzt CrashStealer libcurl und verschlüsselt die gestohlenen Informationen mit AES-256-GCM, bevor sie an einen Kommando-Server unter der IP 179.43.166.242 gesendet werden.

Teil einer größeren Kampagne?

Anzeige

Ihr Mac zeigt unerwartete Abstürze oder unbekannte LaunchAgents? CrashStealer nutzt gültige Zertifikate, um unerkannt zu bleiben. Erfahren Sie, wie Sie die Malware aufspüren und entfernen – bevor Ihre Krypto-Wallet geleert wird. Schutz-Guide jetzt sichern

Die Analyse deutet auf eine plattformübergreifende Operation hin. Forscher fanden Hinweise auf Windows-Varianten der Schadsoftware – die Angreifer zielen offenbar auf mehrere Betriebssysteme gleichzeitig ab.

Der Fall zeigt, wie Angreifer zunehmend das Vertrauenssystem von macOS ausnutzen. Indem sie sich als legitime Systemkomponente tarnen und Apples eigene Notarisierung missbrauchen, verringern sie die Wahrscheinlichkeit, von Nutzern entdeckt zu werden. Sicherheitsexperten raten zur Vorsicht bei unerwarteten Downloads und zur regelmäßigen Überprüfung der installierten LaunchAgents.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69766486 |