PamStealer: Neue Mac-Malware klaut Passwörter vor dem Upload

Sicherheitsforscher entdecken PamStealer, einen Infostealer für Macs, der Login-Daten lokal über PAM prüft und gezielt Apple-Silicon-Rechner angreift.

Der als PamStealer bezeichnete Infostealer zielt speziell auf Nutzer von Apple-Silicon-Rechnern ab und nutzt raffinierte Methoden zur Datenbeschaffung.

Die Malware ist nach Angaben vom 2. Juli 2026 besonders gefährlich, weil sie gestohlene Login-Daten noch vor dem Abtransport lokal überprüft. Dazu greift sie auf native macOS-Systemkomponenten zurück – ein bislang eher seltenes Vorgehen.

Gefälschte Software als Einfallstor

Die Verbreitung läuft über eine betrügerische Website: maccyapp[.]com. Sie gibt sich als offizielle Seite des beliebten Maccy-Zwischenablage-Managers aus, dessen echtes Zuhause maccy.app ist. Wer auf den Fake hereinfällt, lädt ein Disk-Image mit einem zweistufigen Angriff herunter.

Die erste Stufe besteht aus einem AppleScript-Dropper in Kombination mit einem JXA-Downloader (JavaScript for Automation). Dieser nutzt native Objective-C-Schnittstellen, um die eigentliche Schadsoftware nachzuladen und zu starten. Um die Sicherheitsfunktion com.apple.quarantine zu umgehen, setzen die Angreifer auf Tricks mit dem macOS-Script-Editor.

Die PAM-Integration als Kernstück

Das besondere Merkmal von PamStealer: die Integration in die Pluggable Authentication Modules (PAM) von macOS. Statt einfach nur Zugangsdaten zu sammeln und später zu prüfen, validiert die Malware das eingegebene Passwort direkt auf dem infizierten Rechner.

Der Ablauf: Die Software fordert den Nutzer zur Eingabe seines Passworts auf. Über das PAM-Framework wird sofort geprüft, ob die Eingabe korrekt ist. Nur wenn das der Fall ist, beginnt die eigentliche Datensammlung. Schlägt die Validierung fehl, erscheint eine Tarn-Fehlermeldung – etwa, dass die Anwendung beschädigt sei – und der Nutzer wird zur erneuten Eingabe aufgefordert.

Umfassender Datendiebstahl mit Verzögerungstaktik

Anzeige

PamStealer tarnt sich als Maccy-Zwischenablagen-Manager und klaut Passwörter über native macOS-Schnittstellen. Mit der 3-Schritte-Checkliste in unserem Leitfaden erkennen Sie die Malware sofort und schützen Ihre Daten. Sicherheits-Leitfaden jetzt anfordern

Bestätigt das Opfer sein Passwort, startet die eigentliche Rust-basierte Mach-O-Schadsoftware ihren Datensammelfeldzug. Im Visier stehen:

  • Browserdaten wie Cookies, Verlauf und gespeicherte Zugangsdaten
  • Lokale SQLite-Datenbanken und der iCloud-Schlüsselbund
  • Kryptowährungs-Wallets und der Inhalt der Zwischenablage

Um nicht aufzufallen, tarnt sich PamStealer als legitime Systemprozesse – etwa als Finder oder Software Update. Zudem trägt sich die Malware in die Liste der Anmeldeobjekte ein. Ein besonderer Trick: Sie wartet bis zu 40 Minuten, bevor sie die Berechtigungsanfrage für den Vollzugriff auf die Festplatte auslöst. Das soll den Verdacht des Nutzers minimieren.

Gezielte Auswahl der Opfer

Die Schadsoftware ist speziell für Apple-Silicon-Macs kompiliert und prüft vor der Ausführung, ob sie auf der passenden Architektur läuft. Zudem identifiziert sie die Region und das Tastaturlayout des Systems. Sicherheitsanalysten berichten vom 3. Juli 2026, dass die Software ihre Ausführung sofort beendet, wenn sie in Ländern der Gemeinschaft Unabhängiger Staaten (GUS) oder bestimmten Regionen Osteuropas aktiv ist.

Für den Datentransport verschlüsselt die Malware den Datenverkehr mit dem ChaCha20-Poly1305-Algorithmus. Die Kommunikation läuft über einen Command-and-Control-Server. Forscher identifizierten die Domain avenger-sync.live als bekannte Zieladresse für die gestohlenen Daten.

Anzeige

Die Malware prüft Ihr Passwort in Echtzeit über PAM – und tarnt Fehlversuche als harmlose Fehlermeldung. Unser Leitfaden zeigt, wie Sie verdächtige Prozesse wie „Finder“ oder „Software Update“ enttarnen und die Infektion stoppen. Jetzt Schutzmaßnahmen herunterladen

Schutz vor der neuen Bedrohung

Nutzer sollten Software ausschließlich von offiziellen Quellen oder vertrauenswürdigen Plattformen wie GitHub herunterladen. Die Tarnung als vertraute Anwendungen macht PamStealer besonders tückisch – ein genauer Blick auf die Webadresse kann hier bereits den entscheidenden Unterschied machen.