MalwareHackerangriffeSchwachstellen

Atomic Stealer: Neue macOS-Malware nutzt Script Editor für ClickFix-Angriffe

Atomic Stealer: Neue macOS-Malware nutzt Script Editor für ClickFix-Angriffe
Zusammenfassung

# macOS-Nutzer im Visier: Neue Atomic-Stealer-Kampagne nutzt Script Editor für Datendiebstahl Eine neue Malware-Kampagne richtet sich gezielt gegen macOS-Nutzer und missbraucht dabei die in jedem System vorinstallierte Script-Editor-Anwendung. Die Cyberkriminellen setzen auf eine Variante der sogenannten ClickFix-Attacke, bei der Opfer über gefälschte Apple-Websites mit dem Versprechen von Speicherplatz-Optimierungen gelockt werden. Anders als bisherige Varianten dieser Angriffsmethode müssen Nutzer hier nicht manuell Befehle im Terminal ausführen – ein entscheidender Vorteil für die Angreifer. Das Atomic-Stealer-Malware-as-a-Service zielt darauf ab, sensible Daten wie Keychain-Einträge, Browser-Passwörter, Kryptowallet-Daten und Kreditkarteninformationen zu stehlen. Besonders besorgniserregend ist, dass das Malware-Toolkit auch eine Backdoor-Komponente enthält, die Angreifern unbegrenzte persistente Kontrolle über befallene Systeme ermöglicht. Für deutsche macOS-Nutzer und Unternehmen mit Mac-Flotten bedeutet dies ein erhebliches Sicherheitsrisiko, insbesondere wenn Mitarbeiter auf täuschend echte Wartungsanleitungen hereinfallen. Behörden sollten zudem die Gefahr für kritische Infrastrukturen berücksichtigen, falls solche Malware gezielt gegen Verwaltungsnetze eingesetzt wird.

Die neuen Angriffe zeigen ein hohes Maß an Raffinesse und nutzen die Vertrauenswürdigkeit von systemintegrierten Anwendungen aus. Script Editor ist eine vorinstallierte macOS-Anwendung, die primär für AppleScript und JXA-Programmierung gedacht ist und Shell-Befehle ausführen kann. Genau diese Legitimität machen Kriminelle sich zunutze.

Der Angriffsablauf beginnt mit täuschend echt wirkenden Apple-Themenseiten, die Anleitung zur Speicherplatzfreigabe versprechen. Diese Webseiten enthalten links mit dem Schema “applescript://”, das Script Editor automatisch mit vorausgefülltem Code startet. Nutzer sehen eine vermeintlich legitime Systemanleitung und ahnen nicht, dass sie gerade einen gefährlichen Befehl ausführen.

Die technische Umsetzung ist beeindruckend: Ein obfuskierter “curl | zsh”-Befehl lädt ein Script direkt in den Speicher, das eine mit Base64 + Gzip kodierte Nutzlast dekodiert. Anschließend wird eine Binärdatei in /tmp/helper heruntergeladen, ihre Sicherheitsattribute per “xattr -c” entfernt und unmittelbar ausgeführt. Das Endergebnis ist ein Mach-O-Binary, identifiziert als Atomic Stealer (AMOS).

Die Malware richtet enormen Schaden an. Sie zielt auf eine breite Palette sensibler Daten ab: Keychain-Einträge, Desktop-Inhalte, Browser-Kryptowallet-Erweiterungen, Autofill-Daten, Passwörter, Cookies, gespeicherte Kreditkartendaten und Systeminformationen. Besonders besorgniserregend ist, dass AMOS im letzten Jahr um eine Backdoor-Komponente erweitert wurde, die Angreifern persistenten Zugriff auf kompromittierte Systeme ermöglicht.

Für Nutzer und Unternehmen mit macOS-Umgebung gibt es wenige Verteidigungsoptionen. Apple hat zwar in macOS Tahoe 26.4 Warnungen gegen ClickFix-Angriffe implementiert, diese schützen jedoch nicht vor Script-Editor-Missbrauch. Experten empfehlen, Script-Editor-Aufforderungen grundsätzlich als Hochrisikoindikator zu behandeln und diese nur auszuführen, wenn man den Quellcode vollständig versteht und dem Ursprung vertraut. Für macOS-Troubleshooting sollten Nutzer ausschließlich auf offizielle Apple-Dokumentation und gegebenenfalls die Apple Support Communities verlassen.

Diese Kampagne unterstreicht einmal mehr, wie wichtig Sicherheitsbewusstsein und die kritische Überprüfung von vermeintlich legitimen Anleitung sind – besonders auf Geräten, auf denen sensible persönliche und geschäftliche Daten gespeichert sind.

Ähnliche Artikel