Die als „PamStealer“ bekannte Schadsoftware tarnt sich als legitime Produktivitäts-Software, um weitreichende Zugriffsrechte zu erlangen. Zeitgleich beobachten Experten neue Methoden des Social Engineerings, die ohne klassische Schadsoftware Microsoft-Konten kompromittieren.
Zweistufiger Angriff auf Apple Silicon
Analysten von Jamf Threat Labs dokumentierten in den letzten Tagen die Ausbreitung von PamStealer. Die Malware verbreitet sich über präparierte Webseiten, die das Design der beliebten Clipboard-Manager-App Maccy kopieren. Die Angreifer nutzen täuschend echte Adressen wie maccyapp[.]com oder maccyapp[.]net.
Der Infektionsvorgang läuft in zwei Stufen ab. Zunächst führt ein AppleScript-basierter Dropper eine in Rust geschriebene Payload aus. Diese tarnt sich im System als legitime Anwendung, etwa als Software-Update oder Systemdienst.
Die Malware ist speziell auf Macs mit Apple-Silicon-Prozessoren ausgelegt. Zur Sicherung der Kommunikation mit dem Kontrollserver nutzt sie eine moderne Verschlüsselung via ChaCha20-Poly1305.
PAM-Mechanismus prüft gestohlene Passwörter
Eine Besonderheit von PamStealer ist die Nutzung von Pluggable Authentication Modules (PAM). Nachdem die Malware den Nutzer durch eine gefälschte Systemabfrage zur Eingabe seines Passworts verleitet hat, prüft sie die Richtigkeit der Eingabe lokal auf dem Gerät. Erst bei einem korrekten Abgleich werden die Daten an den Angreifer übermittelt.
Die Schadsoftware zielt auf eine Vielzahl sensibler Informationen ab:
- Anmeldedaten und Cookies gängiger Webbrowser
- Inhalte des Schlüsselbunds (Keychain)
- Inhalte der Zwischenablage
- Zugangsdaten für Krypto-Wallets
Zudem fordert das Programm den Nutzer auf, den „Full Disk Access“ zu gewähren. Um Entdeckung zu vermeiden, erfolgt diese Aufforderung oft erst mit einer Verzögerung von bis zu 40 Minuten nach der Erstinfektion.
Angriffe auf sensible Firmendaten und Passwörter werden immer raffinierter, wie das Beispiel PamStealer eindrucksvoll zeigt. Dieser kostenlose Leitfaden hilft Ihnen dabei, Ihr Unternehmen proaktiv abzusichern, bevor es zu spät ist. Experten-Checkliste zum Schutz vor Cyberangriffen herunterladen
ClickFix-Kampagnen und Token-Diebstahl via X
Parallel zur PamStealer-Welle berichten Forscher von Malwarebytes über Angriffe via ClickFix. Dabei nutzen Angreifer verifizierte Werbeanzeigen auf der Plattform X, um Nutzer auf gefälschte Webseiten zu locken. Dort wird unter dem Vorwand technischer Probleme die Installation von Schadsoftware wie Atomic Stealer provoziert.
Ein weiterer Trend ist die Methode „ConsentFix“. Hier verzichten Angreifer komplett auf klassische Malware. Stattdessen bewegen sie Opfer durch Social Engineering dazu, einen Localhost-Link per Drag-and-Drop zu verschieben. Dieser Vorgang ermöglicht den Diebstahl von Authentifizierungs-Token für Microsoft-365-Konten.
Apple plant Framework zur Betrugserkennung
Ob Phishing oder Social Engineering – Hacker nutzen gezielt psychologische Schwachstellen aus, um in Unternehmensnetzwerke einzudringen. Ein neuer Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen und zeigt Ihnen, wie Sie diese frühzeitig entlarven. 7 psychologische Tricks der Hacker jetzt entdecken
Als Reaktion auf die zunehmende Komplexität von Social-Engineering-Angriffen bereitet Apple die Einführung eines neuen Sicherheits-Frameworks vor. Das für den kommenden Herbst im Rahmen von iOS 27 erwartete „Trust Insights“-System soll Interaktionsmuster direkt auf dem Gerät analysieren.
Das System kategorisiert Aktivitäten in Bereiche wie Finanztransaktionen, Kontoverwaltung oder Kommunikation. Ziel ist es, untypische Verhaltensweisen, die auf Betrug hindeuten, in Echtzeit zu erkennen. Ein daraus resultierender Risikowert wird an Apple-Server übermittelt, um im Ernstfall Warnungen auszugeben.
Nutzer sollen die Funktion deaktivieren können. Allerdings ist eine obligatorische Wartezeit für die Reaktivierung vorgesehen, um Manipulationen durch Angreifer zu erschweren.

