Das nordkoreanische Lazarus-Hacker-Kollektiv hat ein modulares Schadsoftware-Kit namens Mach-O Man entwickelt, das gezielt Finanzprofis und Krypto-Experten ins Visier nimmt. Die Sicherheitsforscher des Quetzal Teams von Bitso entdeckten die Kampagne in Zusammenarbeit mit der Analyseplattform ANY.RUN.
ClickFix: Die perfide Masche der Angreifer
Die Angriffe beginnen mit einer besonders hinterhältigen Social-Engineering-Methode. Über kompromittierte Telegram-Konten oder berufliche Netzwerke erhalten die Opfer dringende Einladungen zu Online-Meetings. Klicken sie auf den Link, landen sie auf einer gefälschten Website, die täuschend echt wie Zoom, Microsoft Teams oder Google Meet aussieht.
Angriffe wie die ClickFix-Masche zeigen, wie perfide Hacker psychologische Schwachstellen gezielt ausnutzen, um technische Schutzwälle zu umgehen. Ein kostenloses Anti-Phishing-Paket liefert Ihnen die nötigen Strategien, um solche Manipulationstaktiken frühzeitig zu entlarven. 4 Schritte zur erfolgreichen Hacker-Abwehr jetzt gratis sichern
Dort erscheint ein simulierter Verbindungsfehler – mit der Aufforderung, einen bestimmten Befehl im macOS-Terminal auszuführen. Weil der Nutzer den Befehl selbst eintippt, umgeht er sämtliche Sicherheitsmechanismen wie Gatekeeper oder die Notarisierungsprüfung von Apple. Die Malware, in Go programmiert und sowohl für Intel- als auch Apple-Silicon-Chips optimiert, durchläuft vier Infektionsstufen.
Im letzten Schritt extrahiert ein Stealer-Binary sensible Daten aus Browser-Erweiterungen, SQLite-Datenbanken und dem macOS-Schlüsselbund. Die gestohlenen Informationen – darunter Kryptowallet-Konfigurationen und Signaturschlüssel – werden komprimiert und über die Telegram Bot API abtransportiert.
Sicherheitslücken im Apple-Ökosystem
Parallel zu den Social-Engineering-Angriffen kämpft Apple mit technischen Schwachstellen. Am 25. März 2026 veröffentlichte der Konzern die Updates macOS Tahoe 26.4 und macOS Sequoia 15.7.5, die über 100 Sicherheitslücken schlossen. Besonders kritisch: CVE-2026-28864, ein Fehler, der unbefugten Zugriff auf den Schlüsselbund ermöglichte.
Bereits im März hatte SentinelOne eine weitere Schwachstelle dokumentiert: CVE-2025-24245 erlaubte bösartigen Apps, die Autorisierungsprüfungen des Schlüsselbunds zu umgehen. Der Grund: Fehlende Ratenbegrenzung bei Verifizierungscodes. Ein Angreifer konnte diese Codes in Sekundenschnelle durchprobieren, bis er Zugriff auf die Passwortdatenbank erhielt. Apples Lösung: eine erzwungene Verzögerung zwischen den Versuchen.
Strukturelle Probleme bei Berechtigungen
Doch die Probleme sitzen tiefer. Auf der Nullcon Berlin 2025 präsentierten Forscher CVE-2025-24204: Das Systemprogramm gcore besaß übermäßige Berechtigungen und konnte den Arbeitsspeicher jedes Prozesses auslesen – selbst bei aktiviertem System Integrity Protection. Damit ließen sich Verschlüsselungsschlüssel des Schlüsselbunds extrahieren, ohne dass das Nutzerpasswort erforderlich war.
Noch aktueller: Am 22. April 2026 entdeckten Analysten, dass Authentifizierungstoken für Apple Intelligence-Dienste im Anmelde-Schlüsselbund im Klartext lagen. Diese Token fungierten als Inhaberpässe – das System konnte nicht prüfen, welches Gerät sie ursprünglich erhalten hatte. Zwar versuchte macOS 26.2, die Token in den iCloud-Schlüsselbund zu verschieben, doch Forscher halten diese Absicherung für unzureichend.
Da herkömmliche Passwort-Datenbanken zunehmend zum Ziel hochentwickelter Malware werden, gewinnt die passwortlose Anmeldung massiv an Bedeutung. Dieser kostenlose Report zeigt, wie Sie Passkeys einrichten und Ihre digitalen Zugänge dauerhaft vor Diebstahl schützen. Sicher, bequem und passwortlos – Gratis-Report anfordern
Der Mensch als Schwachstelle
Die Sicherheitsbranche beobachtet einen besorgniserregenden Trend: Erfolgreiche Angriffe setzen zunehmend auf Vertrauensmissbrauch statt technischer Exploits. Die perfide Logik hinter ClickFix: Der Angreifer bringt das Opfer dazu, eine gefährliche Aktion als Routinevorgang zu betrachten.
Gefälschte Vorstellungsgespräche oder angebliche Support-Anfragen senken die Wachsamkeit der Nutzer. Ist das Opfer erst einmal von der Notwendigkeit überzeugt, ignoriert es Sicherheitswarnungen oder gibt Administratorrechte preis. Besonders anfällig: Remote-Arbeitsumgebungen mit vielen Kollaborationstools.
Schutzstrategien für Unternehmen
Sicherheitsexperten empfehlen eine mehrschichtige Verteidigungsstrategie. Managed Service Provider setzen zunehmend auf Application Allowlisting, um die Ausführung nicht autorisierter Software zu verhindern. Mobile Device Management-Lösungen erzwingen strengere Richtlinien für den Schlüsselbund-Zugriff.
Zukünftige macOS-Versionen sollen Social Engineering erschweren – etwa durch kontextbezogene Sicherheitshinweise, die die Risiken von Terminal-Befehlen klar erklären. Forscher erwarten zudem, dass Apple auf hardwaregebundene Anmeldedaten setzt, die selbst bei Diebstahl des Schlüsselbunds auf anderen Geräten nutzlos bleiben.
Für Unternehmen gilt: Sofort die aktuellen macOS-Updates einspielen und Mitarbeiter für die Gefahren ungeprüfter Anweisungen sensibilisieren. Solange Lazarus und andere staatlich gesteuerte Gruppen ihre macOS-Toolkits weiter verfeinerst, bleibt der Schutz des Schlüsselbunds eine der zentralen Sicherheitsaufgaben für professionelle Nutzer.
