PamStealer: Neue Malware stiehlt Passwörter auf Apple-Macs
Veröffentlicht: 03.07.2026 um 15:09 Uhr, Redaktion boerse-global.de
Sicherheitsforscher haben eine neue Schadsoftware für macOS entdeckt, die speziell Apple-Systeme mit hauseigenen Chips angreift. Der sogenannte PamStealer nutzt eine ausgeklügelte Methode, um gestohlene Passwörter vor der Datenübertragung zu verifizieren.
Zweistufiger Angriff: Vom Dropper zum Datendieb
Die Infektion läuft in zwei Phasen ab. Zunächst setzt ein AppleScript-basierter Dropper an, der über JavaScript for Automation (JXA) die eigentliche Schadsoftware nachlädt. Die Tarnung ist dabei raffiniert: Der Dropper tarnt seine Aktivitäten als harmlose Systemprozesse – etwa als macOS-Finder oder als Software-Update.
Die zweite Stufe ist ein in Rust programmierter Stealer. Anders als viele Schädlinge vermeidet PamStealer den Aufruf von Shell-Kommandos. Stattdessen greift er direkt auf native macOS-Schnittstellen zu. Um dauerhaft auf dem System zu bleiben, trägt sich die Malware in die Login-Items des Rechners ein – eine Methode, die legitime Programme ebenfalls nutzen.
PAM als Passwort-Prüfinstanz
Der Name PamStealer verrät das besondere Merkmal: Die Software nutzt Pluggable Authentication Modules (PAM) zur Passwort-Validierung. Nachdem sie ein Login-Passwort etwa durch Social Engineering erbeutet hat, prüft sie dessen Richtigkeit lokal über das PAM-Framework. Erst wenn die Bestätigung erfolgt ist, startet der eigentliche Datendiebstahl.
Die Beute ist umfangreich:
Die neue PamStealer-Malware zielt speziell auf Macs mit Apple-Chips – und prüft gestohlene Passwörter vor dem Abfluss. Mit diesem Leitfaden erkennen Sie gefälschte Apps und schützen Ihren Schlüsselbund. Jetzt kostenlosen Sicherheits-Leitfaden anfordern
- Browserdaten und Cookies
- Einträge aus dem System-Schlüsselbund
- Zwischenablage-Inhalte
- Informationen zu Kryptowährungs-Wallets
Um der Entdeckung zu entgehen, verschlüsselt PamStealer die gestohlenen Daten vor der Übertragung an einen Kommando-Server unter der Domain avenger-sync[.]live. Auffällig: Die Malware enthält eine geografische Sperre und meidet Systeme in GUS-Staaten.
Gefälschte Webseite als Einfallstor
Der Hauptverbreitungsweg führt über eine betrügerische Webseite: maccyapp[.]com. Sie gibt sich als offizielle Seite des beliebten Open-Source-Zwischenablage-Managers Maccy aus. Der echte Entwickler warnte in den vergangenen Tagen ausdrücklich: Einzige legitime Quellen seien die Domain maccy.app oder das offizielle GitHub-Repository des Projekts.
PamStealer tarnt sich als harmlose Systemprozesse und umgeht Gatekeeper – die Gefahr ist real. Erhalten Sie eine Schritt-für-Schritt-Anleitung, um Ihren Mac vor Datendiebstahl zu schützen. macOS-Schutz jetzt sichern
Die Angreifer setzen zudem auf psychologische Tricks, um die Schadsoftware unentdeckt zu halten. In manchen Fällen zeigt PamStealer nach dem Passwortklau eine gefälschte Gatekeeper-Warnung an – offenbar, um mögliche Systemauffälligkeiten zu erklären. Besonders perfide: Die Anfrage nach dem Vollzugriff auf die Festplatte verzögert die Malware um rund 40 Minuten nach der Infektion. Damit umgeht sie die sofortige Prüfung durch Nutzer oder automatisierte Sicherheits-Sandboxen.
Sicherheitsexperten raten macOS-Nutzern, die Herkunft aller Drittanbieter-Programme genau zu prüfen und bei ungewöhnlichen Berechtigungsanfragen oder Login-Aufforderungen besondere Vorsicht walten zu lassen.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
