macOS-Malware PamStealer: Falsche Maccy-App stiehlt Passwörter

Die Schadsoftware PamStealer gibt sich als Maccy-App aus und stiehlt Passwörter, Browserdaten und Krypto-Wallets auf Apple Silicon Macs.

Sicherheitsforscher haben eine gefährliche neue Malware für macOS entdeckt, die sich als harmlose Zwischenablage-App tarnt.

Die als PamStealer bezeichnete Schadsoftware gibt sich als das legitime Programm Maccy aus – ein beliebtes Tool zur Verwaltung der Zwischenablage. Stattdessen stiehlt sie Passwörter, Browserdaten und Kryptowährungs-Wallets. Die Kampagne wurde am 2. Juli 2026 von den Sicherheitsexperten des Unternehmens Jamf dokumentiert.

Gefälschte Webseiten als Einfallstor

Die Täter setzen auf eine perfide Masche: Sie betreiben täuschend echte Nachbauten der offiziellen Maccy-Webseite. Während die echte Anwendung unter maccy.app erreichbar ist, nutzen die Angreifer die Domains maccyapp[.]com und maccyapp[.]net, um die Malware zu verbreiten.

Der Infektionsprozess beginnt oft mit Social Engineering. Nutzer werden während der scheinbar normalen Installation aufgefordert, bestimmte Tastenkombinationen zu drücken. Dahinter verbirgt sich ein verstecktes AppleScript. Dieses startet die Infektionskette, während gleichzeitig gefälschte Fehlermeldungen eingeblendet werden – etwa der Hinweis, die Anwendung sei beschädigt.

Zweistufige Angriffsarchitektur

Die technische Umsetzung ist ausgeklügelt. PamStealer arbeitet in zwei Phasen:

  1. Erste Stufe: Ein AppleScript-Dropper nutzt JavaScript for Automation (JXA). Dieser vermeidet klassische Kommandozeilen-Tools wie curl oder zsh, um Sicherheitslösungen zu umgehen.
Anzeige

Der Diebstahl von Zugangsdaten durch getarnte Programme wie PamStealer zeigt, wie riskant die Speicherung von Passwörtern im Browser oder auf einfachen Listen ist. Dieser kostenlose Guide enthüllt, wie Sie mit KeePassXC die volle Kontrolle über Ihre digitalen Zugänge zurückgewinnen und Ihre Daten verschlüsselt schützen. Kostenlosen Passwort-Guide jetzt herunterladen

  1. Zweite Stufe: Der Dropper lädt eine Schadsoftware nach, die in der Programmiersprache Rust geschrieben ist – konkret eine MachO-Binärdatei.

Besonders perfide: PamStealer nutzt die PAM-Schnittstelle (Pluggable Authentication Modules) von macOS. Das Programm fordert das System-Passwort an und überprüft es lokal gegen die PAM-Datenbank. Nur wenn das echte Passwort eingegeben wurde, startet der Datendiebstahl. So stellen die Angreifer sicher, dass sie keine wertlosen Daten sammeln.

Die aktuelle Version der Malware läuft ausschließlich auf Apple Silicon-Macs. Ältere Intel-Geräte sind nicht betroffen. Zudem enthält die Schadsoftware eine Logik, die eine Ausführung in Staaten der Gemeinschaft Unabhängiger Staaten (GUS) verhindert.

Umfassender Datendiebstahl

Ist PamStealer erst aktiv, greift sie auf eine breite Palette sensibler Daten zu:

  • Browser-Zugangsdaten und Cookies
  • Kryptowährungs-Wallets
  • Inhalte der System-Zwischenablage
  • iCloud-Schlüsselbund-Daten

Die gestohlenen Informationen werden mit dem ChaCha20-Poly1305-Verfahren verschlüsselt und an einen Kommando-und-Kontroll-Server unter avenger-sync[.]live gesendet. Um auf dem infizierten Rechner zu überleben, trägt sich PamStealer in die Anmeldeobjekte des Systems ein und fordert wiederholt den Vollzugriff auf die Festplatte an. Teilweise verzögert die Malware diesen Schritt um 40 Minuten, um nicht sofort aufzufallen.

Anzeige

Wer noch herkömmliche Passwörter nutzt, geht angesichts hochspezialisierter Malware-Angriffe ein vermeidbares Risiko ein. Ein gratis PDF-Ratgeber erklärt Schritt für Schritt, wie Sie künftig alle Ihre Zugangsdaten mit nur einem Hauptpasswort sicher auf Ihrem eigenen Rechner verwalten. Kostenlose Anleitung zur Passwort-Sicherung sichern

Wachsende Bedrohungslage für Mac-Nutzer

Die Entdeckung von PamStealer fällt mit weiteren Berichten über Angriffe auf Mac-Anwender zusammen. Bereits am 3. Juli 2026 dokumentierten Forscher eine ClickFix-Attacke über verifizierte Werbeanzeigen auf der Plattform X. Diese leiteten Nutzer auf eine gefälschte Webseite für eine „Dynamic Island“-Anwendung um, die dann die Schadsoftware Atomic Stealer installierte.

Sicherheitsexperten raten daher zu erhöhter Vorsicht. Mac-Nutzer sollten Software ausschließlich von offiziellen Entwickler-Webseiten oder dem Mac App Store beziehen. Besondere Skepsis ist angebracht, wenn Anwendungen unerwartet nach Administrator-Passwörtern oder Vollzugriff auf die Festplatte verlangen.