Gefahr für Apple-Nutzer
Neue Mac-Schadsoftware tarnt sich und stiehlt Passwörter
17.07.2026 – 15:09 UhrLesedauer: 2 Min.
Eine neue Schadsoftware für den Mac gibt sich als Apple-Programm aus. Der „CrashStealer“ greift Zugangs- und Browserdaten sowie Kryptowährungen ab. Was Nutzer tun können.
Sicherheitsforscher haben eine neue Schadsoftware entdeckt, die auf Apple-Computer zielt und dort Passwörter, Zugangsdaten und Kryptowährungen stehlen kann. Das Programm mit dem Namen „CrashStealer“ tarnt sich als ein Dienst von Apple. Darauf weisen die Fachleute von „Jamf Threat Labs“ hin, die den Schädling untersucht haben.
„CrashStealer“ gibt sich dem Bericht zufolge als Apples „CrashReporter“ aus. Dieses Werkzeug erscheint auf dem Mac normalerweise, wenn ein Programm abstürzt. Verbreitet werde die Schadsoftware über eine gefälschte Anwendung namens „Werkbit“, die sich als Programm für Online-Treffen ausgibt.
- Sicherheitslücken: Apple bessert bei iPhones und iPads nach
- „Torwächter“-Status: Apple verliert vor EU-Gericht im Streit über strengere Regeln
Nach dem Start zeige das Schadprogramm eine Passwortabfrage, die einem gewöhnlichen Systemfenster von macOS ähnelt. Gibt der Nutzer sein Kennwort ein, entsperrt die Software den Schlüsselbund – Apples Speicher für Passwörter und andere vertrauliche Daten.
Signatur täuschte Apples Sicherheitsprüfung
Anschließend beginnt der Diebstahl. Die Schadsoftware greift Daten aus verbreiteten Browsern wie Chrome, Edge, Brave und Opera ab. Zusätzlich sucht sie dem Bericht zufolge nach rund 80 Erweiterungen für sogenannte Krypto-Wallets, also digitale Geldbörsen für Kryptowährungen, sowie nach 14 Passwortmanagern, darunter 1Password, Bitwarden und LastPass.
Auch die Ordner „Dokumente“ und „Downloads“ soll das Programm nach brauchbaren Dateien durchsuchen. Die gesammelten Informationen verschlüsselt es und überträgt sie an einen Server der Angreifer, heißt es.
Der Verbreitungsweg unterscheidet sich von gewöhnlicher Schadsoftware. Das Installationsprogramm war laut „Jamf Threat Labs“ mit einem gültigen Entwicklerzertifikat versehen und von Apple geprüft. So konnte es beim ersten Start die Sicherheitskontrolle Gatekeeper passieren. Diese untersucht heruntergeladene Programme unter anderem auf eine gültige Signatur, garantiert aber nicht, dass eine App dauerhaft frei von Schadcode ist.
So können sich Nutzer schützen
Die gefälschte „Werkbit“-App ließ sich nur nach Eingabe einer PIN herunterladen. Die Fachleute vermuten deshalb, die Angriffe hätten sich zumindest zeitweise gegen ausgewählte Personen gerichtet und seien nicht breit gestreut worden. Erste Hinweise auf das Programm gab es demnach seit Mai, aktive Infektionen entdeckte „Jamf“ im Juli.
„Jamf“ meldete das Zertifikat an Apple. Der Konzern habe die zugehörige Kennung inzwischen widerrufen, sodass der untersuchte Verbreitungsweg nicht mehr funktionieren dürfte. Angepasste Varianten könnten aber über andere Dateien erneut auftauchen.
Misstrauisch sollten Mac-Nutzer werden, wenn eine heruntergeladene App einen zusätzlichen „CrashReporter“ einrichten will oder unmittelbar nach dem Start das Systempasswort verlangt. Programme sollten Nutzer möglichst nur aus dem offiziellen App-Store oder direkt von der Internetseite des jeweiligen Anbieters herunterladen.










