Forscher von Jamf Threat Labs haben eine neue Schadsoftware für macOS entdeckt, die sich als systemeigener Bericht über einen App-Absturz tarnt. Die Malware heißt CrashStealer und nutzt ein gefälschtes Absturzfenster, um das Mac-Passwort zu erbeuten.
Wird das Passwort eingegeben, kann CrashStealer auf zahlreiche persönliche Daten zugreifen. Gefährdet sind vor allem Passwortmanager, Kryptowallets und weitere vertrauliche Informationen auf dem Gerät. Laut Jamf wurden die ersten CrashStealer-Samples Anfang Mai beobachtet; Anfang Juli gab es bereits Hinweise auf einen Einsatz in realen Angriffen.
Verbreitet wurde CrashStealer über ein Disk-Image namens Werkbit Setup. Darin befand sich die Anwendung Werkbit.app, deren ausführbare Datei veltod hieß. Besonders riskant war, dass DMG und App zunächst über eine gültige Apple-Developer-ID-Signatur und Notarisierung verfügten. Dadurch ließ Gatekeeper sie beim ersten Start passieren.
Macworld zufolge hat Apple die Entwicklerzugangsdaten inzwischen widerrufen, sodass Gatekeeper diese Variante der Bedrohung erkennen sollte. Vorsicht bleibt dennoch angebracht: Angreifer können Verpackung, Signaturen und Dateinamen ändern, ohne die eigentliche Angriffsmethode anzutasten.
Die wichtigste Empfehlung bleibt unverändert — Apps nur aus dem Mac App Store oder von offiziellen Websites vertrauenswürdiger Entwickler laden. Unerwartete Absturzberichte und Passwortabfragen sollten ebenfalls misstrauisch machen, besonders wenn ein Fenster behauptet, die „Systemeinstellungen“ wollten Änderungen vornehmen.