Mit PamStealer wurde eine neue Schadsoftware für macOS entdeckt, die sich als der bekannte Zwischenablage-Manager Maccy ausgibt. Nach Angaben der Sicherheitsforscher von Jamf handelt es sich um einen klassischen „Infostealer“, der möglichst unauffällig Zugangsdaten und weitere vertrauliche Informationen auslesen soll.Die Malware verbreitet sich laut Jamf über eine gefälschte Download-Seite für die Maccy-App. Nach der Installation soll zunächst ein Programm aktiv werden, das unter anderem Browserdaten und Inhalte der Zwischenablage ausliest. Außerdem versuche die Schadsoftware, dauerhaft auf dem System aktiv zu bleiben.Bilder: JAMFTäuschend echter PasswortdialogAnders als viele bekannte Infostealer verzichtet PamStealer den Sicherheitsforschern zufolge in dieser ersten Phase auf auffällige Shell-Befehle. Stattdessen werde der eigentliche Schadcode erst später nachgeladen. Für die Autorisierung nutzt die Malware einen täuschend echten Passwortdialog. Das eingegebene Kennwort wird dann zunächst lokal über Apples Authentifizierungssystem PAM geprüft und nur dann weiterverwendet beziehungsweise an die Angreifer übermittelt, wenn es korrekt ist. Aufgrund dieser Vorgehensweise wurde der Name der Schadsoftware gewählt.PamStealer versucht offenbar auch, Nutzer zur Freigabe des erweiterten Festplattenzugriffs zu bewegen. Dadurch kann die Malware auf weitere geschützte Daten zugreifen. Im Programmcode haben die Sicherheitsforscher zudem Funktionen entdeckt, die auf das Auslesen von Kryptowährungs-Wallets hindeuten.Bekannte Techniken kombiniertNach Einschätzung der Sicherheitsforscher nutzt PamStealer überwiegend reguläre Funktionen von macOS und keine bekannte Sicherheitslücke. Dadurch soll die Schadsoftware unauffälliger arbeiten als viele klassische Infostealer. Für sich genommen würden die einzelnen Aktionen oft nicht verdächtig wirken, ihre Kombination könne jedoch dazu dienen, herkömmliche Erkennungsmuster zu umgehen.Als wichtigste Schutzmaßnahme für Anwender bleibt die Empfehlung, Programme ausschließlich aus vertrauenswürdigen Quellen zu beziehen und ungewöhnliche Installationsanweisungen kritisch zu hinterfragen. Besondere Vorsicht ist stets geboten, wenn Anwendungen verlangen, AppleScript-Dateien manuell auszuführen oder zusätzliche Zugriffsrechte zu vergeben.The post Gefälschte Maccy-App als Einfallstor für Mac-Malware first appeared on ifun.de.