PamStealer, Passwörter

PamStealer: Neue macOS-Malware prüft Passwörter vor dem Diebstahl

03.07.2026 - 01:16:34 | boerse-global.de

Die Schadsoftware PamStealer validiert gestohlene System-Logins, bevor sie sensible Daten wie Browser-Cookies und Krypto-Wallets abgreift.

PamStealer: Neue macOS-Malware prüft Passwörter vor Datendiebstahl
PamStealer - Leuchtend grüne Leiterplatte mit abstrakten digitalen Datenströmen, die Malware und Datendiebstahl darstellen. 03.07.2026 - Bild: über boerse-global.de

Sicherheitsforscher entdecken raffinierte Infostealer-Malware, die System-Login-Passwörter vor dem Datendiebstahl überprüft.

Eine neue Bedrohung für macOS-Nutzer sorgt in der Sicherheitsbranche für Aufsehen. Die von Jamf Threat Labs identifizierte Schadsoftware namens PamStealer geht einen ungewöhnlichen Weg: Sie validiert gestohlene Anmeldedaten direkt gegen das System, bevor sie sensible Daten abgreift. Das macht die Malware besonders gefährlich – denn nur funktionierende Passwörter werden weiterverwendet.

Tarnung als vertraute App

PamStealer wird über eine Kampagne verbreitet, die den legitimen Zwischenablage-Manager Maccy imitiert. Nichtsahnende Nutzer landen auf einer gefälschten Website und laden dort ein infiziertes Festplattenabbild herunter. Einmal geöffnet, beginnt der Angriff.

Der zweistufige Infektionsprozess ist raffiniert aufgebaut: In der ersten Stufe kommt AppleScript in Kombination mit einem JXA-Dropper (JavaScript for Automation) zum Einsatz. Erst nach erfolgreicher Ausführung wird die eigentliche Schadsoftware nachgeladen – programmiert in Rust. Branchenkenner sehen darin einen klaren Trend: Die Wahl der Programmiersprache erschwert Analysen und umgeht herkömmliche Erkennungsmechanismen.

Um dauerhaft auf dem System zu bleiben, verankert sich PamStealer in den Login-Items des Rechners. Zudem umgeht die Malware Apples Sicherheitsmechanismen – etwa das „com.apple.quarantine"-Attribut – durch geschickte Tastenkombinationen.

Die PAM-Methode: Passwort-Prüfung vor dem Diebstahl

Das Herzstück von PamStealer ist die Nutzung von Apples Pluggable Authentication Modules (PAM). Bevor die Malware Daten abgreift, prüft sie das eingegebene Login-Passwort gegen das System. So stellen die Angreifer sicher, dass die erbeuteten Zugangsdaten tatsächlich funktionieren.

Die Liste der abgegriffenen Daten ist lang:

  • Browser-Cookies, Chronik und gespeicherte Zugangsdaten
  • SQLite-Datenbanken und Zwischenablage-Inhalte
  • Kryptowährungs-Wallets
Anzeige

Angesichts von rund 4,7 Millionen gehackten Online-Konten pro Quartal in Deutschland wird der klassische Passwort-Schutz immer riskanter. Dieser kostenlose Report zeigt Ihnen, wie Sie mit der neuen Passkey-Technologie Ihre Logins bei Amazon, WhatsApp und Co. endlich hacker-sicher machen. Passkey-Ratgeber jetzt kostenlos anfordern

Um nicht aufzufallen, tarnt sich die zweite Stufe der Malware als macOS-Finder. Zudem verzögert sie die Anfrage nach „Vollzugriff auf das Dateisystem" um bis zu 40 Minuten und verschlüsselt den gesamten Datenverkehr zu den Kommando-Servern.

ClickFix: Neue Angriffsmethode erreicht macOS

Die Entdeckung von PamStealer fällt in eine Zeit zunehmender Bedrohungen für macOS. Jamf Threat Labs berichtet von einer „ClickFix"-Kampagne, bei der ein verifizierter Account auf der Plattform X eine gefälschte App bewarb. Nutzer wurden aufgefordert, Terminal-Befehle einzufügen – mit verheerenden Folgen. Die Methode lieferte unter anderem die Schädlinge Atomic Stealer und DigitStealer aus.

Laut einer Untersuchung von ReliaQuest aus dem Frühjahr 2025 machten ClickFix-Techniken fast 15 Prozent aller Erstzugriffe und 28 Prozent der Umgehungsversuche von Sicherheitsmaßnahmen aus. Die Methode hat nun erfolgreich den Sprung ins macOS-Ökosystem geschafft.

Anzeige

Herkömmliche Passwörter sind oft die größte Schwachstelle und ein Einfallstor für moderne Infostealer-Malware. Erfahren Sie in diesem kostenlosen Leitfaden, wie Sie Ihre Konten durch biometrische Anmeldung komplett absichern und so Datendieben keine Chance mehr lassen. Gratis-Report: Passwortlos und sicher anmelden

Schutzmaßnahmen und Branchenreaktion

Browser-Entwickler Opera hat diese Woche eine neue Funktion namens „Paste Protect" eingeführt. Das Tool scannt kopierte Inhalte auf schädliche Muster und blockiert unbefugte Operationen – auf Windows, macOS und Linux.

Parallel dazu hat Jamf einen neuen Threat-Hunting-Dienst namens Beacon gestartet. Jaron Bradley, Direktor bei Jamf Threat Labs, warnt: Infostealer-Malware stelle derzeit die größte Bedrohung für macOS-Umgebungen dar. Zwar beschleunige Künstliche Intelligenz die Entwicklung solcher Schädlinge, doch biete sie auch neue Werkzeuge für die Verteidiger, um schädliche Aktivitäten zu identifizieren.

de | wissenschaft | 69677485 |