macOS gilt im Alltag als vergleichsweise widerstandsfähig gegenüber Schadsoftware. Gatekeeper, Notarisierung und Systemintegritätsschutz bilden mehrere Schutzschichten, die Angriffe zumindest erschweren sollen. Sicherheitsforscher haben nun jedoch eine neue Malware-Variante entdeckt, die genau diese Mechanismen gezielt umgeht. Analysiert wurde der Schadcode von Jamf Threat Labs. Demnach handelt es sich um eine technisch deutlich weiterentwickelte Version des sogenannten MacSync Stealers, der bereits seit Frühjahr 2025 in verschiedenen Kampagnen beobachtet wird.
Manipulierte Signatur unterläuft Gatekeeper
Besonders problematisch ist die Art und Weise, wie sich die neue Variante auf dem System einnistet. Die Malware ist mit einer gültigen Apple-Signatur versehen und passiert damit den Gatekeeper ohne Warnmeldung. Für Nutzer wirkt der Installer zunächst legitim – ein klassisches Einfallstor für gezielte Angriffe.
Statt die eigentliche Schadsoftware direkt auszuführen, setzt der Angreifer auf einen sogenannten Dropper. Dieser bringt den schädlichen Code zunächst verschlüsselt auf das System und entschlüsselt ihn erst lokal. Dadurch entzieht sich die Malware vielen automatisierten Prüfmechanismen.
Mehrstufige Tarnung und Selbstschutz
Die Analyse zeigt, dass der Dropper mehrere zusätzliche Schutz- und Verschleierungstechniken nutzt. So prüft der Schadcode vor dem Start, ob eine aktive Internetverbindung besteht – ein Hinweis darauf, dass Testumgebungen oder isolierte Analyse-Systeme gezielt umgangen werden sollen.
Auffällig ist zudem die künstliche Vergrößerung des ausgelieferten Disk-Images. Durch das Einbetten harmloser PDF-Dateien wächst das Image auf über 25 Megabyte an, was die Erkennung durch heuristische Scanner erschwert. Einzelne Skriptbestandteile löschen sich nach der Ausführung selbst, um Spuren auf dem System zu minimieren.
Bekannter Stealer mit erweitertem Funktionsumfang
Der MacSync Stealer trat erstmals im April 2025 unter der Bezeichnung Mac.C in Erscheinung und wird einem Akteur mit dem Alias „Mentalpositive“ zugeschrieben. Spätestens seit dem Sommer gilt die Schadsoftware als ernstzunehmende Größe im Bereich der macOS-Infostealer – neben bekannten Namen wie AMOS oder Odyssey.
Frühere Analysen zeigen, dass der Stealer in der Lage ist, umfangreiche Daten abzugreifen. Dazu zählen Zugangsdaten aus dem iCloud-Schlüsselbund, gespeicherte Browser-Passwörter, Systeminformationen, Inhalte aus Krypto-Wallets sowie beliebige Dateien. In einem Interview hatte der mutmaßliche Entwickler bereits eingeräumt, dass Apples verschärfte Notarisierungsanforderungen seine Vorgehensweise maßgeblich beeinflusst hätten – die aktuelle Variante bestätigt diese Einschätzung.
Was Nutzer jetzt beachten sollten
Einen einfachen technischen Indikator für eine Infektion gibt es derzeit nicht. Umso wichtiger ist ein vorsichtiger Umgang mit Installern außerhalb des App Stores. Auch scheinbar notarierte Anwendungen sollten kritisch geprüft werden, insbesondere wenn sie von unbekannten Download-Seiten stammen oder ungewöhnliche App-Namen tragen.
Darüber hinaus empfiehlt es sich, sämtliche Sicherheits- und Systemupdates zeitnah zu installieren.
Gruselig.
Und leider nicht der erste Fall von Mac – Malware, die tatsächlich im Umlauf ist und Schaden anrichtet.
noch viel schlimmer unter Linux, wo sie jahrelang wissen, das Lücken gibt und so, aber nie updaten.
Wäre sicher sehr lustig, wenn Linux auf einmal 30% Anteil hätte, am OS Markt und den die ganze Zeit nur über Linux wegen Viren und malware und Angriffe zu lesen. 😁
Da wäre sowieso Norton 360 für Mac drauf.
Da gähne ich nur bei so Nachrichten über neue Viren und Malware.
Hat unter Dos schon den av von Peter Norton noch als ich mir mal den Pingpong A und B einfing, nachher nie mehr ein Virus bis, heute und seitdem ist Norton immer Dabei. 10 Lizenz ganze Familie Partnerin und jedes Handy noch dazu.