Eine neue Schadsoftware für den Mac tarnt sich als Absturzmeldung von Apple. „CrashStealer“ zeigt einen täuschend echten Dialog an und fordert Nutzer dazu auf, ihr Mac-Passwort einzugeben. Wer das Kennwort nennt, ermöglicht den Angreifern den Zugriff auf persönliche Daten.Entdeckt wurde die Malware von Jamf Threat Labs. Sie verbreitet sich über ein vermeintliches Installationsprogramm namens „Werkbit Setup“. Besonders problematisch: Die Datei war mit einem gültigen Apple-Entwicklerkonto signiert und von Apple geprüft worden. Dadurch erschien beim Öffnen zunächst keine deutliche Sicherheitswarnung.Apple-Prüfung bietet keine vollständige SicherheitApples sogenannte Notarisierung prüft Programme auf bereits bekannte Schadsoftware. Das bedeutet jedoch nicht, dass eine App dauerhaft sicher ist. Neue Schadprogramme können bei der Prüfung noch unbekannt sein oder erst später aus dem Internet nachgeladen werden.Nach der Installation imitiert CrashStealer Apples Absturzbericht. Die gefälschte Meldung verlangt das Anmeldepasswort und prüft sogar, ob es richtig ist. Bei einer falschen Eingabe erscheint die Abfrage erneut.Passwörter, Dateien und Wallets im VisierMit dem richtigen Kennwort versucht die Schadsoftware unter anderem, auf den Schlüsselbund, Browserdaten, Passwortmanager, Dokumente und Krypto-Wallets zuzugreifen. Die gefundenen Informationen werden anschließend an die Angreifer übertragen.CrashStealer richtet sich zudem so ein, dass die Malware nach einer erneuten Anmeldung am Mac automatisch wieder startet. Das bloße Löschen der sichtbaren App reicht daher möglicherweise nicht aus.Was Betroffene jetzt tun solltenWer „Werkbit Setup“ installiert und anschließend sein Passwort in einer angeblichen Absturzmeldung eingegeben hat, sollte den Mac als kompromittiert betrachten. Das Mac-Passwort sowie wichtige Zugangsdaten sollten von einem sauberen Gerät aus geändert werden. Im Zweifel empfiehlt sich eine vollständige Neuinstallation des Macs.Das wichtigste Warnsignal bleibt die Passwortabfrage: Ein gewöhnlicher Absturzbericht benötigt nicht plötzlich das Anmeldekennwort. Apps sollten zudem nur aus dem Mac App Store oder direkt von der eindeutig echten Webseite des Entwicklers geladen werden.The post CrashStealer: Gefälschter Apple-Dialog will das Mac-Passwort first appeared on ifun.de.