Apfelpatient
  • Home
  • News
  • Rumors
  • Tipps & Tricks
  • Tests & Erfahrungsberichte
  • Allgemein
No Result
View All Result
  • Home
  • News
  • Rumors
  • Tipps & Tricks
  • Tests & Erfahrungsberichte
  • Allgemein
No Result
View All Result
Apfelpatient
No Result
View All Result

Neue Mac-Malware stiehlt Passwörter über Absturzbericht

by Milan
15. Juli 2026 - 15:22
in Apple News
Mac-Absturzberichte Passwörter

Bild: Shutterstock / AIBooth

Wenn eine App abstürzt, bietet macOS an, einen Fehlerbericht an Apple zu senden – ein vertrauter Vorgang. Genau den ahmt eine neue Schadsoftware nach: Sie fragt das Mac-Passwort ab und greift danach auf Schlüsselbund, Passwort-Manager und Krypto-Wallets zu. Der Trick funktioniert nur mit einer Mithilfe, die im Moment kaum auffällt.

macOS gilt als stabil, doch hin und wieder stürzt eine App ab, und das System bietet an, einen Diagnosebericht zu senden. Die Sicherheitsfirma Jamf Threat Labs hat eine Schadsoftware entdeckt, die diesen Ablauf fälscht und dabei das Anmeldepasswort abgreift. Wer es eingibt, öffnet der Software den Zugriff auf einen großen Teil seiner persönlichen Daten. Die Masche zeigt erneut, dass ein Mac kein Freifahrtschein gegen Angriffe ist – wie man Apple-Geräte grundsätzlich vor Malware schützt, bleibt deshalb eine Grundfrage der eigenen Sicherheit.

So läuft der Angriff ab

Der Schädling trägt bei Jamf den Namen CrashStealer. Der Erstkontakt erfolgt nicht zufällig, sondern über eine getarnte Meeting-App namens „Werkbit“, die als vermeintliche Software für Videokonferenzen verteilt wird. Der Download ist mit einer Meeting-PIN geschützt – ein Hinweis darauf, dass die Angreifer die Datei gezielt an ausgewählte Opfer schicken, etwa über gefälschte Einladungen zu angeblichen Bewerbungsgesprächen, statt sie breit zu streuen.

Ein automatischer Befall findet nicht statt. Das Opfer muss die App herunterladen, starten und anschließend sein Mac-Passwort eingeben. Erst dann installiert die Software im Hintergrund eine zweite Komponente, die sich als Apples Absturzberichts-Werkzeug ausgibt – inklusive passendem Namen, Symbol und der internen Kennung com.apple.crashreporter. Auf dem Bildschirm erscheint ein Passwortdialog im Stil von macOS, dessen Begleittext den weitreichenden Systemzugriff als reine Wartung erscheinen lässt.

Was die Software abgreift

Das eingegebene Passwort prüft die Schadsoftware zunächst lokal mit einem Bordmittel von macOS auf Gültigkeit. Stimmt es, entsperrt sie damit den Anmelde-Schlüsselbund und kopiert ihn in einen versteckten Ordner. Von dort weitet sich der Zugriff aus: auf Browserdaten wie gespeicherte Logins und Cookies, auf rund 14 Passwort-Manager – darunter 1Password, Bitwarden, LastPass, Dashlane und Keeper – sowie auf etwa 80 Krypto-Wallets wie MetaMask, Phantom und Coinbase. Zusätzlich durchsucht sie die Ordner „Dokumente“ und „Downloads“ nach verwertbaren Dateien.

Die gesammelten Daten verschlüsselt CrashStealer noch auf dem Gerät, bevor sie an einen fremden Server abfließen. Die Software nistet sich zudem so ein, dass sie bei jeder Anmeldung erneut startet. Jamf entdeckte außerdem Windows-Varianten derselben Kampagne – die Angreifer zielen also plattformübergreifend, nicht nur auf den Mac.

Warum Gatekeeper zunächst nicht anschlug

Besonders heikel ist der Weg, auf dem die Angreifer die Schutzmechanismen von macOS umgingen. Die „Werkbit“-App war mit einer gültigen Apple-Entwickler-ID signiert und von Apple notarisiert – sogar das Disk-Image selbst trug eine Signatur, was bei Schadsoftware unüblich ist. Dadurch passierte die Datei die Gatekeeper-Prüfung beim ersten Start ohne Warnhinweis.

Nachdem Jamf den Fund gemeldet hatte, hat Apple die missbrauchte Entwickler-Kennung widerrufen. Die bekannte Variante sollte damit inzwischen von Gatekeeper erkannt und blockiert werden. Das entschärft den konkreten Fall, hebt aber die eigentliche Lehre nicht auf: Eine gültige Apple-Signatur allein ist kein Beweis für Vertrauenswürdigkeit.

So lässt sich der Angriff abwehren

Ein einfaches Warnsignal hilft im Alltag: Apples echte Werkzeuge zur Absturzberichterstattung sind bereits Teil von macOS. Eine Datei namens CrashReporter.dmg, die zum Download angeboten wird, gehört nicht dazu und sollte misstrauisch machen. Ebenso lohnt ein zweiter Blick auf jeden Passwortdialog, der weitreichende Systemänderungen verlangt – gerade dann, wenn er im Zusammenhang mit einer frisch installierten App auftaucht.

Der verlässlichste Schutz bleibt, Programme nur aus dem Mac App Store oder von den Websites vertrauenswürdiger Entwickler zu laden und Einladungen zu unbekannten Meeting-Apps kritisch zu prüfen. Da der Angriff auf das eingegebene Passwort zielt, hilft zusätzlich eine konsequent aktive Zwei-Faktor-Authentifizierung beim Apple Account: Selbst abgeflossene Zugangsdaten sind dann für einen Angreifer allein deutlich weniger wert. Wer ganz ohne wiederverwendbares Passwort auskommen will, findet in Passkeys auf Apple-Geräten eine Methode, die sich über einen gefälschten Dialog gar nicht erst abgreifen lässt.

Signierte Software ist kein Freibrief

CrashStealer ist kein Massenangriff, sondern eine gezielte, aufwendig gebaute Kampagne – und genau das macht sie zum Lehrstück. Die Angreifer haben eine echte Entwickler-ID beschafft, ihre Schadsoftware notarisieren lassen und den entscheidenden Moment auf eine einzige Nutzeraktion verengt: die Eingabe des Passworts in einen täuschend echten Dialog. Wer an dieser Stelle kurz innehält, nimmt der Masche ihre Grundlage. (Bild: Shutterstock / AIBooth)

  • Neun neue Emoji: Pickle, Leuchtturm und Meteor sind geplant
  • China gibt Apple Intelligence frei – mit Qwen und Baidu
  • OpenAI sieht keine Belege für Apples Diebstahlvorwurf
  • Apple Watch von der EU-Wechselakku-Pflicht ausgenommen
  • Apple wächst in China um 24 Prozent gegen den Markttrend
  • Apple TV zeigt den Trailer zu „Mayday“ mit Ryan Reynolds
  • Madden NFL 27 startet am 6. August bei Apple Arcade
  • Apple weist Epics Einwände gegen die Verfahrenspause zurück
  • WhatsApp arbeitet an Backup-Alternative zu iCloud
  • iOS 26.6 warnt vor schädlichen Nachrichten
Kennt ihr schon unsere Amazon Storefront? Dort findet ihr eine handverlesene Auswahl von diversen Produkten für euer iPhone und Co. – viel Spaß beim Stöbern.
Der Beitrag enthält Partnerlinks.
Apfelpatient bei Google bevorzugen 1 Klick – so siehst du uns häufiger bei Google
War dieser Artikel hilfreich?
JaNein
Tags: CybersecuritymacOS
Previous Post

Neun neue Emoji: Pickle, Leuchtturm und Meteor sind geplant

Mac-Absturzberichte Passwörter

Neue Mac-Malware stiehlt Passwörter über Absturzbericht

15. Juli 2026
Emoji Unicode-Konsortium

Neun neue Emoji: Pickle, Leuchtturm und Meteor sind geplant

15. Juli 2026
Apple Intelligence China

China gibt Apple Intelligence frei – mit Qwen und Baidu

15. Juli 2026

Über APFELPATIENT

APFELPATIENT liefert dir die neuesten Apple-News, Produkt-Updates, Ratgeber, Testberichte und Tipps rund um das gesamte Apple-Ökosystem - vom iPhone über den Mac bis zur Apple Vision Pro. Von ersten Gerüchten bis zu bestätigten News: verantwortungsvoll recherchiert.

Folge Apfelpatient

Facebook Instagram YouTube Threads Threads

Unternehmen

  • Über Apfelpatient
  • Kontakt
  • Autorenprofile

Gemeinschaft

  • Netiquette
  • Push-Benachrichtigungen
  • RSS-Feed

Rechtliches

  • Impressum
  • Datenschutzerklärung
  • Nutzungsbedingungen
  • Cookie-Einstellungen
  • Partnerprogramm

Ressourcen

  • Sitemap

© 2026 Apfelpatient. All rights reserved.

No Result
View All Result
  • Home
  • News
  • Rumors
  • Tipps & Tricks
  • Tests & Erfahrungsberichte
  • Allgemein

© 2026 Apfelpatient. Alle Rechte vorbehalten. | Seitenverzeichnis

Sprache auf English ändern