CrashStealer, Apples

CrashStealer: Neue macOS-Malware umgeht Apples Notarisierung

Veröffentlicht: 14.07.2026 um 07:54 Uhr, Redaktion boerse-global.de

Der Infostealer CrashStealer tarnt sich als Apple-Dienst und stiehlt Passwörter, Browserdaten und Krypto-Wallets auf signierten Macs.

CrashStealer: Neue macOS-Malware umgeht Apples Notarisierung
Stilisierter Mac-Bildschirm mit glitchartigem Code und kaputtem Vorhängeschloss, Symbol für Malware und Sicherheitsverletzung. Illustration mit AI erstellt übermittelt durch boerse-global.de

Sicherheitsforscher von Jamf Threat Labs haben eine detaillierte Analyse eines neuen Infostealers für macOS veröffentlicht. Die als CrashStealer getaufte Schadsoftware schaffte es, Apples Notarisierungsprozess zu umgehen und unerkannt auf Mac-Systeme zu gelangen.

Tarnung als Apple-Systemkomponente

Der CrashStealer tarnt sich als legitimes Apple-System-Framework – genauer gesagt als CrashReporter. Diese Tarnung erlaubt es der Malware, unter dem Deckmantel eines vertrauenswürdigen Systemdienstes zu operieren, während sie im Hintergrund sensible Nutzerdaten abgreift. Besonders perfide: Die Software überprüft lokal über das dscl-Kommandozeilen-Tool das Benutzerpasswort, um Zugriff auf die Systemschlüsselbund zu erhalten.

Die Schadsoftware zielt gezielt auf:
- Zugangsdaten und Daten aus verschiedenen Webbrowsern
- Über 80 verschiedene Kryptowährungs-Wallets
- 14 verschiedene Passwort-Manager-Anwendungen
- Inhalte der System-Schlüsselbundverwaltung

Verteilung über notarisierte Anwendungen

Anzeige

Wer seinen Mac vor der neuen CrashStealer-Malware schützen will, findet in diesem Report eine konkrete Sofort-Checkliste – von der Erkennung gefälschter Meeting-Apps bis zur Absicherung von Krypto-Wallets und Passwort-Managern. Jetzt kostenlosen Sicherheits-Report anfordern

Die Hauptverteilungsmethode war eine gefälschte Meeting-Anwendung namens Werkbit. Obwohl die Software bösartige Absichten verfolgte, wurde sie von Apple signiert und notarisiert – ein Prozess, der eigentlich sicherstellen soll, dass nur vertrauenswürdige Software auf Macs läuft. Die Verteilung erfolgte über PIN-geschützte Downloads und Disk-Images.

Nach der Entdeckung der Kampagne entzog Apple die Entwickler-Zertifikate, die auf ein Konto unter dem Namen Emil Grigorov zurückgingen. Erste Proben des CrashStealer tauchten bereits im Mai 2026 auf VirusTotal auf, doch die aktiven Erkennungen und Analysen durch Sicherheitsfirmen nahmen Anfang Juli 2026 deutlich zu.

Datenverschlüsselung und Multi-Plattform-Strategie

Anzeige

Die CrashStealer-Malware umgeht Apples Notarisierung – ein Alarmsignal für jedes Unternehmen mit Mac-Nutzern. Dieser Report zeigt, wie Sie die Schadsoftware erkennen und Ihre Systeme mit 5 bewährten Tools schützen. Mac-Sicherheits-Report jetzt sichern

Die gesammelten Daten verschlüsselt der CrashStealer mit AES-256-GCM, bevor er sie an einen Command-and-Control-Server unter der IP-Adresse 179.43.166.242 übermittelt. Branchenanalysen deuten darauf hin, dass CrashStealer Teil einer breiter angelegten, plattformübergreifenden Cyberkampagne ist, die auch eine Windows-Variante umfasst.

Die Fähigkeit der Malware, Apples Notarisierungsprüfungen zu passieren, zeigt eine besorgniserregende Entwicklung: Angreifer nutzen zunehmend legitime Entwickler-Workflows, um schädliche Software zu verbreiten. Apples Reaktion – der Widerruf der Signaturzertifikate – soll weitere Installationen der bekannten Werkbit-Varianten verhindern. Ob dies ausreicht, bleibt abzuwarten.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69764345 |