Sicherheitsfunktionen wie Gatekeeper gehören zu den wichtigsten Schutzmechanismen von macOS. Sie sollen verhindern, dass Schadsoftware unbemerkt ausgeführt wird und sensible Daten abfließen. Ein aktueller Bericht zeigt jedoch, dass Angreifer erneut Wege gefunden haben, diese Schutzmaßnahmen zu umgehen. Eine neue Variante des MacSync Stealers nutzt gezielt den Notarisierungsprozess von Apple aus und erreicht damit eine neue Qualität bei Angriffen auf macOS.
Gatekeeper gilt unter macOS seit Jahren als effektive erste Verteidigungslinie gegen Malware. In der Vergangenheit war es für Angreifer meist notwendig, Nutzer zu aktiven Handlungen zu bewegen, um diese Schutzfunktion auszuhebeln. Genau hier setzt die neue Angriffsmethode an. Sie reduziert die nötigen Schritte auf ein Minimum und macht den Infektionsprozess deutlich unauffälliger.
Gatekeeper und seine bisherige Rolle unter macOS
Gatekeeper überprüft unter macOS, ob Anwendungen signiert und von Apple notariell beglaubigt sind. Ist das nicht der Fall, wird die Ausführung blockiert oder zumindest mit deutlichen Warnhinweisen versehen. Frühere Malware-Kampagnen versuchten daher, Nutzer dazu zu bringen, diese Warnungen bewusst zu umgehen. Typisch waren Methoden wie das manuelle Öffnen über das Kontextmenü oder das Ausführen von Skripten über das Terminal.
Neue Erkenntnisse von Jamf Threat Labs
Forscher von Jamf Threat Labs berichten nun über eine neue Variante des MacSync Stealers, die einen anderen Ansatz verfolgt. Statt Gatekeeper auszutricksen, wird dessen Vertrauen missbraucht. Die Malware wird über eine code signierte und notariell beglaubigte Swift-Anwendung verteilt. Damit erfüllt die App formal alle Voraussetzungen, um unter macOS ohne Warnmeldung gestartet zu werden.
Tarnung als legitime Anwendung
Die neue Variante wird als Installer für eine angebliche Anwendung mit dem Namen „zk-Call & Messenger“ verbreitet. Nutzer laden diese App über einen Webbrowser herunter und können sie anschließend ganz normal per Doppelklick öffnen. Anders als bei früheren Versionen ist kein Rechtsklick und kein explizites Bestätigen des Öffnens notwendig, da es sich um eine signierte ausführbare Datei handelt.
Eine Überprüfung der Installationsdatei zeigt, dass sie korrekt signiert und notariell beglaubigt ist. Sie ist zudem mit einer gültigen Entwickler-Team-ID verknüpft. Auffällig ist die Dateigröße von rund 25,5 MB. Das eigentliche Skript ist vergleichsweise klein, die Anwendung wurde jedoch mit zusätzlichen Dateien wie PDFs aufgebläht. Dadurch wirkt sie allein durch ihren Umfang wie ein seriöser Installer.
Zweistufiger Aufbau der Malware
Die Installations-App enthält den MacSync Stealer nicht direkt. Nach dem Start lädt sie eine zweite Nutzlast von einem externen Server nach. Auf diesem Server liegt die eigentliche Malware, die anschließend auf dem Zielsystem installiert wird. Technisch handelt es sich weiterhin um einen verschlüsselten Dropper. Viele der typischen Merkmale von MacSync Stealer sind vorhanden.
Der entscheidende Unterschied liegt in der ersten Stufe. Durch die Verwendung einer notariell beglaubigten und signierten App kann diese Stufe die Schutzmechanismen von Gatekeeper vollständig umgehen. Die eigentliche Schadsoftware wird erst später aus dem Internet nachgeladen.
Einordnung und bisherige Entwicklungen
Jamf beschreibt diesen Fall als Beispiel dafür, wie Malware-Autoren ihre Verbreitungsmethoden gezielt weiterentwickeln, um möglichst viele Infektionen zu erzielen. Laut den Forschern wurde eine solche Kombination aus Swift-basierter, code signierter und notariell beglaubigter Anwendung mit einer nachgeladenen Payload bisher noch nicht beobachtet.
Der Trend, Malware in legitim wirkende ausführbare Dateien einzubauen, ist jedoch nicht neu. Bereits im Jahr 2020 wurde bekannt, dass bösartiger Code den Notarisierungsprozess von Apple durchlaufen konnte, weil schädliche Skripte innerhalb von Anwendungen nicht erkannt wurden. Neu ist diesmal, dass die notariell beglaubigte App selbst keinen schädlichen Code enthält, sondern diesen erst nach Bestehen aller Prüfungen aus dem Internet abruft. Dadurch wird die Erkennung während des Notarisierungsprozesses deutlich erschwert.
Reaktion und aktuelle Situation
Jamf hat die zugehörige Entwickler-Team-ID an Apple gemeldet. Das betroffene Zertifikat wurde daraufhin widerrufen. Zum Zeitpunkt der Veröffentlichung des Berichts waren die Code-Verzeichnis-Hashes allerdings noch nicht in der Widerrufsliste von Apple enthalten. Das zeigt, dass zwischen Entdeckung und vollständiger Sperrung weiterhin ein Zeitfenster bestehen kann.
macOS Sicherheit endet nicht bei Gatekeeper
Der Fall rund um den MacSync Stealer verdeutlicht, dass macOS trotz Gatekeeper und Notarisierung kein vollständig geschlossenes System ist. Angreifer nutzen gezielt Vertrauen aus, das durch Signierung und Beglaubigung entsteht. Für Mac-Nutzer bleibt daher eine saubere digitale Hygiene entscheidend. Dazu gehört, genau zu prüfen, welche Software installiert wird und aus welchen Quellen sie stammt, etwa von bekannten Entwicklerseiten oder direkt aus dem Mac App Store. Gatekeeper ist unter macOS ein wichtiger Schutzmechanismus, ersetzt aber nicht Aufmerksamkeit und kritisches Verhalten im Alltag. (Bild: Shutterstock / Pungu x)
- Apple Intelligence muss Chinas KI-Zensurtest bestehen
- Ted Lasso Staffel 4: Produzenten nennen möglichen Starttermin
- Apple erlaubt alternative App Stores auf iOS in Brasilien
- iOS 26.3 erhält Lob der EU für neue Funktionen
- WhatsApp testet neues Quiz-Feature für Kanäle
- Apple und China: Treffen auf Regierungsebene bestätigt
- Apple unter Druck: Italien verhängt Millionenstrafe
- Apple warnt Mitarbeiter mit Visa vor Auslandsreisen
- Vorratsdatenspeicherung: Regierung will IP-Adressen speichern
- Apple TV setzt „The Last Frontier“ nach einer Staffel ab
- Apple zeigt neue KI-Forschung zur Smartphone-Fotografie
- Apple zwingt iPhone-Nutzer indirekt zu iOS 26 Updates
- Samsung startet mit Exynos 2600 früher ins 2-nm-Zeitalter
- AirPods Pro 3: Störgeräusche auch nach Updates ungelöst
- ChatGPT erweitert den Chatverlauf um wichtige neue Funktion
- Apple stellt UniGen 1.5 vor: Ein KI-Modell für alle Bilder
- macOS Bug lässt Studio Display seit Monaten flackern
- Apple plant mehr Werbung in der App Store Suche ab 2026
- ChatGPT unterstützt jetzt Apple Music direkt in der App
- Apple öffnet App Store in Japan und ändert iOS-Regeln
- Apple TV erweitert Monarch-Universum mit neuem Spin-off
- Apple stellt SHARP vor: 3D-Szenen aus nur einem Foto
- Apple Aktie: Morgan Stanley hebt Kursziel auf 315 Dollar an
- Trump-Regierung droht der EU mit Vergeltung wegen DMA
