macOS gilt im Alltag als vergleichsweise widerstandsfähig gegenüber Schadsoftware. Gatekeeper, Notarisierung und Systemintegritätsschutz bilden mehrere Schutzschichten, die Angriffe zumindest erschweren sollen. Sicherheitsforscher haben nun jedoch eine neue Malware-Variante entdeckt, die genau diese Mechanismen gezielt umgeht. Analysiert wurde der Schadcode von Jamf Threat Labs. Demnach handelt es sich um eine technisch deutlich weiterentwickelte Version des sogenannten MacSync Stealers, der bereits seit Frühjahr 2025 in verschiedenen Kampagnen beobachtet wird.
Manipulierte Signatur unterläuft Gatekeeper
Besonders problematisch ist die Art und Weise, wie sich die neue Variante auf dem System einnistet. Die Malware ist mit einer gültigen Apple-Signatur versehen und passiert damit den Gatekeeper ohne Warnmeldung. Für Nutzer wirkt der Installer zunächst legitim – ein klassisches Einfallstor für gezielte Angriffe.
Statt die eigentliche Schadsoftware direkt auszuführen, setzt der Angreifer auf einen sogenannten Dropper. Dieser bringt den schädlichen Code zunächst verschlüsselt auf das System und entschlüsselt ihn erst lokal. Dadurch entzieht sich die Malware vielen automatisierten Prüfmechanismen.
Mehrstufige Tarnung und Selbstschutz
Die Analyse zeigt, dass der Dropper mehrere zusätzliche Schutz- und Verschleierungstechniken nutzt. So prüft der Schadcode vor dem Start, ob eine aktive Internetverbindung besteht – ein Hinweis darauf, dass Testumgebungen oder isolierte Analyse-Systeme gezielt umgangen werden sollen.
Auffällig ist zudem die künstliche Vergrößerung des ausgelieferten Disk-Images. Durch das Einbetten harmloser PDF-Dateien wächst das Image auf über 25 Megabyte an, was die Erkennung durch heuristische Scanner erschwert. Einzelne Skriptbestandteile löschen sich nach der Ausführung selbst, um Spuren auf dem System zu minimieren.
Bekannter Stealer mit erweitertem Funktionsumfang
Der MacSync Stealer trat erstmals im April 2025 unter der Bezeichnung Mac.C in Erscheinung und wird einem Akteur mit dem Alias „Mentalpositive“ zugeschrieben. Spätestens seit dem Sommer gilt die Schadsoftware als ernstzunehmende Größe im Bereich der macOS-Infostealer – neben bekannten Namen wie AMOS oder Odyssey.
Frühere Analysen zeigen, dass der Stealer in der Lage ist, umfangreiche Daten abzugreifen. Dazu zählen Zugangsdaten aus dem iCloud-Schlüsselbund, gespeicherte Browser-Passwörter, Systeminformationen, Inhalte aus Krypto-Wallets sowie beliebige Dateien. In einem Interview hatte der mutmaßliche Entwickler bereits eingeräumt, dass Apples verschärfte Notarisierungsanforderungen seine Vorgehensweise maßgeblich beeinflusst hätten – die aktuelle Variante bestätigt diese Einschätzung.
Was Nutzer jetzt beachten sollten
Einen einfachen technischen Indikator für eine Infektion gibt es derzeit nicht. Umso wichtiger ist ein vorsichtiger Umgang mit Installern außerhalb des App Stores. Auch scheinbar notarierte Anwendungen sollten kritisch geprüft werden, insbesondere wenn sie von unbekannten Download-Seiten stammen oder ungewöhnliche App-Namen tragen.
Darüber hinaus empfiehlt es sich, sämtliche Sicherheits- und Systemupdates zeitnah zu installieren.
