PamStealer, Malware

PamStealer: Neue Malware stiehlt Passwörter auf Apple-Macs

Veröffentlicht: 03.07.2026 um 15:09 Uhr, Redaktion boerse-global.de

Sicherheitsforscher entdecken PamStealer, eine Schadsoftware für Macs mit Apple Silicon, die gestohlene Passwörter vor dem Abfluss lokal verifiziert.

PamStealer: Neue Mac-Malware zielt auf Apple-Chips und stiehlt Passwörter
PamStealer - Verschattete Gestalt in dunklem Hoodie tippt auf Laptop, umgeben von abstraktem digitalem Code, symbolisiert Cyber-Bedrohungen und Malware. 03.07.2026 - Bild: über boerse-global.de

Sicherheitsforscher haben eine neue Schadsoftware für macOS entdeckt, die speziell Apple-Systeme mit hauseigenen Chips angreift. Der sogenannte PamStealer nutzt eine ausgeklügelte Methode, um gestohlene Passwörter vor der Datenübertragung zu verifizieren.

Zweistufiger Angriff: Vom Dropper zum Datendieb

Die Infektion läuft in zwei Phasen ab. Zunächst setzt ein AppleScript-basierter Dropper an, der über JavaScript for Automation (JXA) die eigentliche Schadsoftware nachlädt. Die Tarnung ist dabei raffiniert: Der Dropper tarnt seine Aktivitäten als harmlose Systemprozesse – etwa als macOS-Finder oder als Software-Update.

Die zweite Stufe ist ein in Rust programmierter Stealer. Anders als viele Schädlinge vermeidet PamStealer den Aufruf von Shell-Kommandos. Stattdessen greift er direkt auf native macOS-Schnittstellen zu. Um dauerhaft auf dem System zu bleiben, trägt sich die Malware in die Login-Items des Rechners ein – eine Methode, die legitime Programme ebenfalls nutzen.

PAM als Passwort-Prüfinstanz

Der Name PamStealer verrät das besondere Merkmal: Die Software nutzt Pluggable Authentication Modules (PAM) zur Passwort-Validierung. Nachdem sie ein Login-Passwort etwa durch Social Engineering erbeutet hat, prüft sie dessen Richtigkeit lokal über das PAM-Framework. Erst wenn die Bestätigung erfolgt ist, startet der eigentliche Datendiebstahl.

Die Beute ist umfangreich:

Anzeige

Die neue PamStealer-Malware zielt speziell auf Macs mit Apple-Chips – und prüft gestohlene Passwörter vor dem Abfluss. Mit diesem Leitfaden erkennen Sie gefälschte Apps und schützen Ihren Schlüsselbund. Jetzt kostenlosen Sicherheits-Leitfaden anfordern

  • Browserdaten und Cookies
  • Einträge aus dem System-Schlüsselbund
  • Zwischenablage-Inhalte
  • Informationen zu Kryptowährungs-Wallets

Um der Entdeckung zu entgehen, verschlüsselt PamStealer die gestohlenen Daten vor der Übertragung an einen Kommando-Server unter der Domain avenger-sync[.]live. Auffällig: Die Malware enthält eine geografische Sperre und meidet Systeme in GUS-Staaten.

Gefälschte Webseite als Einfallstor

Der Hauptverbreitungsweg führt über eine betrügerische Webseite: maccyapp[.]com. Sie gibt sich als offizielle Seite des beliebten Open-Source-Zwischenablage-Managers Maccy aus. Der echte Entwickler warnte in den vergangenen Tagen ausdrücklich: Einzige legitime Quellen seien die Domain maccy.app oder das offizielle GitHub-Repository des Projekts.

Anzeige

PamStealer tarnt sich als harmlose Systemprozesse und umgeht Gatekeeper – die Gefahr ist real. Erhalten Sie eine Schritt-für-Schritt-Anleitung, um Ihren Mac vor Datendiebstahl zu schützen. macOS-Schutz jetzt sichern

Die Angreifer setzen zudem auf psychologische Tricks, um die Schadsoftware unentdeckt zu halten. In manchen Fällen zeigt PamStealer nach dem Passwortklau eine gefälschte Gatekeeper-Warnung an – offenbar, um mögliche Systemauffälligkeiten zu erklären. Besonders perfide: Die Anfrage nach dem Vollzugriff auf die Festplatte verzögert die Malware um rund 40 Minuten nach der Infektion. Damit umgeht sie die sofortige Prüfung durch Nutzer oder automatisierte Sicherheits-Sandboxen.

Sicherheitsexperten raten macOS-Nutzern, die Herkunft aller Drittanbieter-Programme genau zu prüfen und bei ungewöhnlichen Berechtigungsanfragen oder Login-Aufforderungen besondere Vorsicht walten zu lassen.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69680041 |