Sicherheit & Cyberabwehr

CrashStealer: Neue macOS-Malware tarnt sich als Apples CrashReporter

17.07.2026 3 Min. Lesezeit
Alle Artikel

Sicherheitsforscher warnen vor einer neuen Malware für macOS, die sich als Apples CrashReporter ausgibt. Entdeckt hat sie das Sicherheitsteam des MDM-Spezialisten Jamf. Der Schädling trägt den Namen CrashStealer und ist ein klassischer Infostealer: Er greift gezielt sensible Daten auf dem Mac ab, darunter die Zugänge zahlreicher bekannter Passwortmanager, den Apple-Schlüsselbund sowie Passwörter und Informationen aus Krypto-Wallets. Zusätzlich durchsucht eine eingebaute Routine die Ordner „Dokumente" und „Downloads" nach verwertbaren Inhalten.

So arbeitet der Schädling

Technisch geht CrashStealer geschickt vor. Die gestohlenen Dateien verschlüsselt die Malware mit AES-GCM und schickt sie anschließend über libcurl an einen Command-and-Control-Server. Das Muster erinnert an bekannte macOS-Infostealer wie Atomic. Die native C++-Umsetzung und die clientseitige Verschlüsselung machen CrashStealer laut Jamf aber zu einer eigenen Schädlingsfamilie.

Aufgetaucht ist die Malware in einer über das Web verbreiteten App namens Werkbit, die sich als Meeting-Werkzeug ausgibt. Mit der gleichnamigen deutschen Mittelstandssoftware hat sie nichts zu tun. Die gefälschte Werkbit-App verfügte zunächst über ein gültiges Apple-Zertifikat. Die zugehörige Developer Team ID hat Apple inzwischen deaktiviert, nachdem Jamf den Fall gemeldet hatte. Dass Malware mit einer legitimen Developer-ID unterwegs ist, kommt leider immer wieder vor. Beim Start erscheint dann keine Warnung.

Zusätzlich versucht der Installer, an der Gatekeeper-Prüfung vorbeizukommen. Über Social Engineering sollen Nutzer dazu gebracht werden, die App per Rechtsklick zu öffnen, eine Methode, die Apple zunehmend erschwert. Nötig wäre dieser Umweg hier gar nicht gewesen, da das Zertifikat ja bestand.

Gefälschter CrashReporter fordert Admin-Rechte

Um an die Daten zu kommen, installiert CrashStealer parallel eine gefälschte CrashReporter-App. Sie imitiert das echte Apple-Werkzeug, das bei Programmabstürzen erscheint. Beim ersten Start verlangt die Fälschung vollen Zugriff auf die SSD und ein Administratorpasswort. Ist das erteilt, greift sie auf den Schlüsselbund zu und der Diebstahl beginnt. Jamf beschreibt die Umsetzung als besonders raffiniert und schwerer zu erkennen als gewöhnliche Infostealer. Erste Hinweise kursierten seit Mai, aktive Installationen fand Jamf noch im Juli.

Über die genauen Verbreitungswege ist wenig bekannt. Möglich ist, dass die App für gezielte Angriffe auf bestimmte Personen gedacht war. Das falsche Werkbit verlangte vor der Installation nämlich eine Meeting-ID in Form einer PIN. Der Ablauf könnte so aussehen: Ein Opfer erhält eine Meeting-Einladung samt PIN und dem Hinweis zum Download. Nach der Installation setzt der Datendiebstahl ein.

Wenn du einen Mac nutzt, solltest du Software nur aus vertrauenswürdigen Quellen installieren und stutzig werden, sobald eine vermeintliche Systemanwendung nach Vollzugriff und Administratorpasswort fragt.