CrashStealer, Passwörter

CrashStealer: Neue macOS-Malware klaut Passwörter und Krypto-Wallets

Veröffentlicht: 15.07.2026 um 16:35 Uhr, Redaktion boerse-global.de

Die Schadsoftware CrashStealer umgeht Apples Gatekeeper und stiehlt Passwörter, Wallet-Daten und Browser-Informationen von Mac-Nutzern.

CrashStealer: Neue macOS-Malware tarnt sich als Apple-Tool
Verschattete Gestalt in Kapuzenjacke tippt auf Laptop, dahinter Code-Zeilen projiziert, symbolisiert Cyberkriminalität und Datendiebstahl. Illustration mit AI erstellt übermittelt durch boerse-global.de

Sicherheitsforscher warnen vor einer gefährlichen neuen Malware, die sich als Apple-Systemtool tarnt und gezielt Nutzerdaten abgreift.

Die Schadsoftware mit dem Namen „CrashStealer" wurde von Experten der Firma Jamf Threat Labs entdeckt und ist seit Anfang Juli aktiv. Sie gibt sich als legitimes Apple-Programm aus, um an sensible Informationen zu gelangen – darunter Passwort-Manager, Kryptowährungs-Wallets und Browserdaten.

Verbreitung über gefälschte Meeting-Software

Die Malware gelangt vor allem über eine betrügerische Anwendung namens Werkbit auf die Rechner der Opfer. Die Angreifer betreiben eine spezielle Installationsseite, die teilweise sogar durch eine PIN geschützt ist, um die Schadsoftware zu verteilen.

Besonders perfide: Der sogenannte Dropper von CrashStealer war mit einer gültigen Apple-Entwickler-ID signiert – und zwar auf den Namen Emil Grigorov (WWB7JA7AQV). Damit passierte die Software sogar Apples Notarisierungsprozess und konnte die Gatekeeper-Schutzfunktion von macOS umgehen, die normalerweise unsignierte oder nicht verifizierte Programme blockiert. Nach der Entdeckung entzog Apple dem Entwicklerkonto die Berechtigungen.

Tarnung als Apple Crash Reporter

Nach der Installation der Werkbit-Anwendung lädt diese ein Festplattenabbild mit der eigentlichen Schadsoftware herunter. CrashStealer ist in C++ geschrieben und tarnt sich als offizielles macOS Crash Reporter-Tool. Es zeigt eine täuschend echte Oberfläche, die Nutzer auffordert, ihre Administrator-Anmeldedaten einzugeben – angeblich, um einen technischen Fehlerbericht an Apple zu senden.

Anzeige

Der Fall zeigt eindringlich, dass herkömmliche Passwörter oft die größte Schwachstelle bei Cyberangriffen sind. Dieser kostenlose Report erklärt, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Amazon, WhatsApp und Co. endlich hacker-sicher machen. Sicherheits-Report zu Passkeys jetzt gratis lesen

Die Malware installiert zudem einen LaunchAgent, um dauerhaft auf dem System präsent zu bleiben. Für ihre Datensammelei nutzt sie unter anderem das Systemprogramm dscl.

Umfassende Datenklau-Fähigkeiten

CrashStealer zielt gezielt auf besonders wertvolle Informationen ab. Die Liste der betroffenen Anwendungen ist lang:

  • 14 verschiedene Passwort-Manager werden angegriffen, darunter 1Password, Bitwarden, LastPass, Dashlane, NordPass und Keeper.
  • 80 verschiedene Kryptowährungs-Wallets und Browser-Erweiterungen sind betroffen, etwa MetaMask, Phantom, Coinbase und Exodus.
  • Browser und Systemdaten werden ebenfalls abgegriffen – darunter Zugangsdaten und Sitzungsinformationen aus Chrome, Brave, Edge, Opera und Vivaldi sowie der native macOS-Schlüsselbund.

Um nicht aufzufallen, überspringt die Malware beim Sammeln große Dateien. Vor der Übertragung werden die gestohlenen Daten mit AES-256-GCM verschlüsselt und archiviert.

Anzeige

Pro Quartal werden in Deutschland Millionen Online-Konten gehackt, wobei Kriminelle es gezielt auf sensible Zugangsdaten abgesehen haben. Erfahren Sie in diesem kostenlosen Ratgeber, wie Sie den Passwort-Stress beenden und sich mit biometrischer Anmeldung effektiv vor Datenklau schützen. Kostenlosen PDF-Report zur passwortlosen Anmeldung sichern

Technische Hintergründe und Schutzmaßnahmen

Die gestohlenen Archive werden an einen Kommando-und-Kontroll-Server unter der IP-Adresse 179.43.166.242 gesendet. Die Forscher fanden zudem Verbindungen zu einem GitHub-Repository namens „mgothiclove/pkeys" als Teil der Angriffs-Infrastruktur.

Erste Proben der Bedrohung wurden bereits im Mai 2026 entdeckt, die Kampagne hat sich jedoch in den letzten Wochen deutlich verstärkt.

Cybersicherheitsexperten raten Mac-Nutzern dringend, bei der Installation von Software aus Quellen außerhalb des offiziellen Mac App Store besondere Vorsicht walten zu lassen. Wer plötzlich von unerwarteten Systemabfragen nach Administrator-Passwörtern überrascht wird, sollte skeptisch sein – ein echter Apple Crash Reporter fordert keine derartigen Daten an.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69774066 |