Assets
Krypto-Einzahlung
Krypto kaufen
Konvertieren
Transfer
Abheben
Meine Gutscheine
Fonds-Geschichte
Dashboard
Kontosicherheit
Identitätsverifizierung
API-Management
Transaktionsbericht
Abmelden
registrieren
BTCC / BTCC Square / CryptopolitanDE /
Neue MacSync-Malware-Variante umgeht macOS-Sicherheitsvorkehrungen – Jamf und SlowMist schlagen Alarm

Neue MacSync-Malware-Variante umgeht macOS-Sicherheitsvorkehrungen – Jamf und SlowMist schlagen Alarm

Author:
CryptopolitanDE
Published:
2025-12-23 16:25:14
19
2

Neue MacSync-Malware-Variante umgeht macOS-Sicherheitsvorkehrungen, warnen Jamf und SlowMist

Ein neuer Schädling macht die Runde und umgeht die eingebauten Schutzmechanismen von macOS. Sicherheitsforscher von Jamf und SlowMist warnen vor einer aktualisierten Variante der MacSync-Malware, die sich Zugang zu sensiblen Daten verschafft.

Wie die Malware die Barrieren durchbricht

Die Bedrohung nutzt raffinierte Techniken, um Gatekeeper und andere native Sicherheitsfunktionen von Apple zu umschiffen. Sie tarnt sich als legitime Software, um die üblichen Warnungen zu vermeiden und sich auf dem System einzunisten.

Was auf dem Spiel steht

Sobald installiert, kann die Malware auf Schlüsselbund-Zugangsdaten, Browser-Historie, Krypto-Wallets und andere vertrauliche Informationen zugreifen. Für Nutzer, die ihre digitalen Assets auf Macs verwalten, ist das ein direkter Angriff auf ihre finanzielle Souveränität – eine Erinnerung daran, dass in der digitalen Welt oft die sicherste Brieftasche die ist, die nicht mit dem Internet verbunden ist.

Die aktuelle Lage

Die Forscher betonen, dass diese Variante besonders schwer zu erkennen ist. Sie fordern Nutzer auf, Downloads nur aus vertrauenswürdigen Quellen zu beziehen und Sicherheitsupdates sofort zu installieren. Im Krypto-Bereich, wo ein einziger Klick über Vermögen entscheiden kann, ist solche Wachsamkeit nicht optional, sondern Pflicht. Manchmal scheint das größere Risiko nicht in der Volatilität der Märkte zu liegen, sondern in der vermeintlich sicheren Software auf dem eigenen Schreibtisch.

Slowmist behauptet, Nutzerdaten seien bereits gestohlen worden 

In einem X-Post behauptete 23pds, Chief Information Security Officer von Slowmist, dass es eine neue Variante von MacSync gibt, die das macOS-Gatekeeper-Sicherheitssystem umgeht und bereits die Daten vieler Benutzer gestohlen hat. 

Laut 23pds nutzt diese Variante Techniken wie das Aufblähen von Dateien, die Überprüfung von Netzwerkverbindungen und Selbstzerstörungsskripte nach der Ausführung, um einer Entdeckung zu entgehen. Sie kann Berichten zufolge sensible Daten wie iCloud-Schlüsselbunde, Browserpasswörter und Krypto-Wallets stehlen. 

Die Warnung war einem Blogbeitrag von Jamf Threat Labs beigefügt, in dem berichtet wurde, dass dies nicht der erste Kontakt mit MacSync sei. 

Die auf macOS abzielende Malware zum Datendiebstahl tauchte Berichten zufolge erstmals im April 2025 unter dem Namen „Mac.C“ auf und wurde von einem Bedrohungsakteur namens „Mentalpositive“ entwickelt. Kurz darauf wurde sie in MacSync umbenannt und gewann schnell an tracunter Cyberkriminellen.

Um sich davor zu schützen, laden Sie Apps nur aus dem Mac App Store oder von vertrauenswürdigen Entwickler-Websites herunter, halten Sie Ihr macOS und Ihre Apps auf dem neuesten Stand, verwenden Sie seriöse Antiviren-/Endpoint-Security-Tools, die macOS-Bedrohungen erkennen, und seien Sie vorsichtig mit unerwarteten .dmg-Dateien oder Installationsprogrammen, insbesondere solchen, die Krypto- oder Messaging-Tools versprechen.

Gibt es eine neue MacSync-Malware? 

Die fragliche Malware-Probe ähnelte Berichten zufolge stark früheren Varianten der zunehmend aktiven MacSync Stealer-Malware, wurde aber in ihrem Design überarbeitet. Sie unterschied sich von früheren MacSync Stealer-Varianten, die hauptsächlich auf Drag-to-Terminal- oder ClickFix-ähnliche Techniken setzten, durch einen subtileren, automatisierten Ansatz. 

Das Beispiel wird angeblich als signierte und notariell beglaubigte Swift-Anwendung in einem Disk-Image mit dem Namen zk-call-messenger-installer-3.9.2-lts.dmg bereitgestellt

Dadurch entfällt die Notwendigkeit einer direkten Interaktion mit dem Terminal. Stattdessen ruft der Dropper ein kodiertes Skript von einem Remote-Server AB und führt es über eine in Swift erstellte Hilfsdatei aus

Die Jamf Threat Labs beobachteten außerdem, dass der Odyssey-Infostealer in neueren Varianten ähnliche Verbreitungsmethoden anwendet. Sie zeigten sich überrascht, dass die bekannte Anweisung zum Öffnen per Rechtsklick auch in der neuen Version noch vorhanden ist, obwohl die ausführbare Datei signiert ist und diesen Schritt eigentlich nicht erfordert.

„Nach Prüfung der Mach-O-Binärdatei, die ein universeller Build ist, konnten wir bestätigen, dass sie sowohl codesigniert als auch notariell beglaubigt ist. Die Signatur ist mit der Entwicklerteam-ID GNJLS3UYZ4 verknüpft“, behaupteten sie. 

Sie überprüften die Hashwerte der Codeverzeichnisse anhand der Sperrliste von Apple und stellten fest, dass zum Zeitpunkt der Analyse keine Einträge gesperrt waren.

Eine weitere bemerkenswerte Beobachtung betrifft die ungewöhnlich große Größe des Disk-Images (25,5 MB), die ihrer Aussage nach durch im App-Bundle eingebettete Köderdateien aufgebläht zu sein scheint. 

Zum Zeitpunkt der Analyse wurden einige der auf VirusTotal hochgeladenen Dateien nur von einem Antivirenprogramm erkannt, andere hingegen von bis zu dreizehn. Nachdem Jamf Threat Labs bestätigt hatte, dass die Entwicklerteam-ID zur Verbreitung schädlicher Dateien verwendet wurde, meldete das Unternehmen dies Apple. Das zugehörige Zertifikat wurde daraufhin widerrufen.

Die klügsten Krypto-Köpfe lesen bereits unseren Newsletter. Lust auf mehr? Dann schließen Sie sich ihnen an .

|Square

Holen Sie sich die BTCC-App und beginnen Sie Ihre Krypto-Reise

Download on the App Store GEI IT ON Google Play

Starten Sie noch heute Scannen Sie, um Teil von mehr als 100 Millionen Nutzern zu werden

Exchange for a better future

Produkte
Services
Leitfaden
Über uns
Bedingungen & Vereinbarung
Kundenservice

Risikowarnung: Der Handel mit digitalen Vermögenswerten ist eine aufstrebende Branche mit vielversprechenden Aussichten, aber er ist auch mit großen Risiken verbunden, da es sich um einen neuen Markt handelt. Das Risiko ist beim Handel mit Hebelwirkung besonders hoch, da die Hebelwirkung die Gewinne vergrößert und gleichzeitig die Risiken erhöht. Bitte vergewissern Sie sich, dass Sie die Branche, die gehebelten Handelsmodelle und die Handelsregeln genau verstehen, bevor Sie eine Position eröffnen. Außerdem empfehlen wir Ihnen dringend, Ihre Risikotoleranz zu ermitteln und nur die Risiken einzugehen, die Sie bereit sind, einzugehen. Da jeder Handel mit Risiken verbunden ist, müssen Sie beim Einstieg in den Markt vorsichtig sein.

Die am längsten laufende Kryptowährungsbörse der Welt seit 2011 © 2011 - 2025 BTCC.com. All rights reserved

Haftungsausschluss: Die auf dieser Website veröffentlichten Artikel stammen aus öffentlichen Netzwerken und dienen ausschließlich der Übermittlung von Brancheninformationen. Sie stellen keine offizielle Position von BTCC dar. Die Urheberrechte verbleiben bei den jeweiligen Autoren. Sollten Sie Urheberrechtsverletzungen oder fragwürdige Inhalte feststellen, kontaktieren Sie uns bitte unter [email protected], damit wir dies gesetzeskonform behandeln können. BTCC übernimmt keine ausdrückliche oder stillschweigende Garantie für die Richtigkeit, Aktualität oder Vollständigkeit der wiedergegebenen Informationen und lehnt jede Haftung für direkte oder indirekte Schäden ab, die aus der Nutzung dieser Informationen entstehen. Alle Inhalte dienen lediglich als Referenz für Branchenrecherchen und stellen keine Anlage-, Rechts- oder Geschäftsempfehlung dar. BTCC übernimmt keine Haftung für Handlungen, die auf Grundlage dieser Informationen vorgenommen werden.