Entgegen ihrem Ruf für hohe Sicherheit sind macOS-basierte Plattformen zunehmend Ziel unterschiedlichster ausgeklügelter Bedrohungen. Die zunehmende Adaption von Malware auf neuere Hardware-Sicherheitstechnologien von Apple wie die M1- und M2-Chips stellt ein wachsendes und ernstzunehmendes Risiko dar. Die Bedrohungslandschaft für macOS zeichnet sich durch eine regelrechte Industrialisierung von MaaS-Angeboten (Malware durch Malware-as-a-Service) und der Nutzung plattformübergreifender Frameworks wie Go und Rust aus.
Infostealer
Infostealer bleiben die am weitesten verbreiteten Bedrohungen für macOS. Ihr vorrangiges Ziel besteht darin, vertrauliche Daten zu sammeln. Neueste Entwicklungen nutzen dazu fortschrittliches Social Engineering und missbrauchen gängiges Benutzerverhalten, um die integrierten Sicherheitsmechanismen wie Gatekeeper zu umgehen.
Technische Analyse und nennenswerte Beispiele
| Bedrohungsfamilie | Technischen Daten | Verbreitung/Infektionsmethode |
| AMOS-Familie (Atomic Stealer) | Diese Bedrohung war 2024 mit Varianten wie Poseidon (auch als Rodrigo bekannt) und Cuckoo erfolgreich. Sie nutzt AppleScript (osascript) aus, indem sie versteckte Antwortparameter einsetzt, um Benutzer dazu zu bringen, ihr macOS-Kennwort einzugeben, was wiederum die Keychain zum Stehlen von Zugangsdaten freigibt. Neuere Varianten setzten verschlüsselte Strings und per Fernzugriff geladenes AppleScript ein, um unerkannt zu bleiben. | Setzt vorrangig auf Malvertising (Google/Bing-Werbeanzeigen) und schädliche GitHub Repositories (Behälter), wodurch Anwender häufig schädliche einzeilige Terminal-Befehle ausführen, die Gatekeeper umgehen |
| Banshee | Die 2024/2025 beobachtete Bedrohung kann Apples XProtect umgehen. Sie validiert Benutzerpasswörter anhand des Befehls dscl /Local/Default -authonly und setzt Anti-Analyse-Prüfungen (z. B. zum Vermeiden von russischsprachigen Systemen) ein. Sie hat es auf Keychain, Browser und Wallets abgesehen. | Über MaaS verbreitet; häufig als legitime Apps getarnt wie Obsidian |
| PyStealer | Der Python-basierte Infostealer (2024 beobachtet) führt umfangreiche Anti-VM-Prüfungen durch und nutzt AppleScript für Passwortanfragen. Außerdem exfiltriert er Daten über Discord Webhooks und Remote-Server. | Als PDF-Dokumente getarnte Festplattenabbilder |
| Cthulhu Stealer | Der Go-basierte MaaS-Infostealer (2024 beobachtet) stielt Zugangsdaten, Kryptowährung und Spielekonten. Anwender müssen dazu Gatekeeper-Warnungen überschreiben. | Gefälschte Apps wie CleanMyMac oder Adobe GenP |
| CloudChat | Dieser Go-basierte Infostealer (2024 beobachtet) führt Geolocation-Prüfungen durch, um chinesische Systeme zu vermeiden. Er verfügt über eine Überwachung der Zwischenablage, um Kryptoschlüssel auszutauschen und Daten über FTP und Telegram-Bots zu stehen. | Gefälschte App zum Videochat (CloudChat) |
| FrigidStealer | Diese Malware wurde für das Stehlen von Browser-Zugangsdaten und Sitzungscookies entwickelt. | In der Regel über gefälschte Software-Downloads |
Hintertüren und Trojaner
Über Hintertüren und Trojaner verschaffen sich Angreifer dauerhaften, versteckten Zugang oder täuschen Anwender, damit sie Malware installieren, um noch tiefgreifender ins System zu gelangen. Indem Hintertüren in plattformübergreifenden Sprachen (Rust/Go) programmiert werden, lassen sich leichter mehrere Plattformen angreifen.
Technische Analyse und nennenswerte Beispiele
| Kategorie der Bedrohung | Bedrohungsfamilie/Name | Technischen Daten | Infektionsmethode |
| Hintertüren | RustDoor (auch als ThiefBucket bekannt) | Die ausgeklügelte Hintertür ist in Rust geschrieben und erleichtert eine plattformübergreifende Bereitstellung. Sie wird mit Ransomware-Gruppen in Verbindung gebracht (2024). | Mit einem Trojaner infizierte Apps |
| SpectralBlur | Diese Hintertür wird mit einer nordkoreanischen APT-Gruppe (Advanced Persistent Threat) in Verbindung gebracht. Sie erlaubt Funktionen zum Hochladen, Herunterladen und Ausführen, um das System zu überwachen. | Mit einem Trojaner infizierte Apps und Download-Trojaner | |
| HZ RAT | Dieser Remote-Access-Trojaner erlaubt Angreifern vollständigen Fernzugriff auf das infizierte System. | In der Regel als Payload von einem Download-Trojaner | |
| ZuRu | Eine neue Variante dieser Hintertür wurde innerhalb der Trojaner-Version der legitimen App Termius gefunden. Sie umgeht Gatekeeper, indem sie das Vertrauen der Anwender ausnutzt und ein manuelles Überschreiben der Sicherheit verlangt. | Eine mit einem Trojaner infizierte App | |
| Trojaner | Shlayer | Dieser weit verbreitete Trojaner dient zum Herunterladen und Ausführen anderer bösartiger Payloads. | Gefälschte Software-Updates oder bösartige Websites |
| XcodeSpy | Der Trojaner wird in gefälschte Xcode-Projekte eingebettet, wobei er besonders auf Software-Entwickler abzielt. Er erstellt eine dauerhafte Hintertür. | Ein schädliches Xcode-Projekt, das unter Entwicklern verbreitet wurde | |
| RustBucket | Der ausgeklügelte Hintertür-Trojaner (2023) umgeht Gatekeeper mithilfe einer gefälschten PDF-App. Er ermöglicht die Installation zusätzlicher Malware sowie Spionage. | Getarnt als gefälschte PDF-App |
Ransomware
Während sie bisher weniger üblich war, nimmt Ransomware auch bei macOS immer mehr zu. Cyberkriminelle können die Schwachstellen von modernen Versionen der Apple Silicon-Chips ausnutzen sowie deren Sicherheitsmaßnahmen umgehen, was für Anwender ein erhöhtes Risiko bedeutet.
Technische Analyse und nennenswerte Beispiele
| Bedrohungsfamilie/Name | Technischen Daten | Auswirkung/Fähigkeit |
| NotLockBit
(2024) |
Hierbei handelt es sich um eine macOS-Adaption von LockBit für Windows. Sie hat Proof-of-Concepts für Dateiverschlüsselung und Datenexfiltration demonstriert. Außerdem ist sie in der Lage, Gatekeeper zu umgehen und Schwachstellen von Chips der M-Serie auszunutzen. | Verschlüsselt Dateien, fordert Lösegeld; Proof of Concept an Apple Silicon |
| EvilQuest
(2020) |
Die Ransomware kombiniert Dateiverschlüsselung mit Datendiebstahl. Sie ist eine der frühen und umfangreicheren macOS-Ransomwares. | Behindert den Betrieb, sorgt für Datenschutzverletzungen |
| Albabat
(2025) |
Sie wurde 2025 speziell für macOS entwickelt, um selektiv Daten mit bestimmte Dateiendungen zu verschlüsseln. Sie nutzt legitime Anwendungen aus, um unentdeckt zu bleiben. | Gezielte Dateiverschlüsselung |
| MacRansom
(2017) |
Sie ist eine der ersten macOS-Ransomware-Familien. | Fordert Bitcoin-Zahlungen zur Entschlüsselung |
| KeRanger | Diese macOS-Ransomware ist schon früh aufgefallen. | Dateiverschlüsselung |
Zero-Day-Exploits und Lieferkettenangriffe
Diese Kategorien gehören zu den gefährlichsten und am schwersten aufspürbaren Bedrohungen, die häufig in ausgeklügelten, gezielten Kampagnen eingesetzt werden.
Technische Analyse und nennenswerte Beispiele
| Kategorie der Bedrohung | Bedrohungsfamilie/Beispiel | Technischen Daten | Auswirkung |
| Zero-Day-Exploits | CVE-2025-43300 | Dies ist eine Out-of-Bounds-Schreibschwachstelle im ImageOI-Framework von Apple. | Ermöglicht Angreifern langfristigen unerkannten Zugriff; häufig über bösartig manipulierte Dateien (z. B. kompromittierte Bilder) ausgelöst |
| Lieferkettenangriffe | EvasivePanda | Diese Download-Trojaner-Kampagne infiziert Anwender über kompromittierte Software oder Verbreitungskanäle. | Betrifft große Gruppen von Opfern gleichzeitig, da schädlicher Payload in vertrauenswürdige Software eingeschleust wird |
| Shai-Hulud-Wurm | Dieser Lieferkettenangriff ziel auf das npm-Ökosystem ab. | Kompromittiert Anwendungen, die auf das infizierte Paket angewiesen sind | |
| LightSpy | Dieser Framework zur plattformübergreifenden Überwachung betrifft macOS, iOS, Android und Windows. Er wird häufig mit chinesischen APT-Gruppen in Verbindung gebracht. | Ermöglicht weitreichende Überwachung und Datenexfiltration |
Neue und fortschrittliche Bedrohungen
Diese Kategorie hebt neue Trends und Angriffsmethoden hervor, wobei auch die Rolle von KI und der Einsatz nativer Hardware-Funktionen berücksichtigt werden.
Technische Analyse und nennenswerte Beispiele
| Kategorie der Bedrohung | Bedrohungsfamilie/Beispiel | Technischen Daten | Auswirkung/Fähigkeit |
| KI-basierte Bedrohungen | allgemein | KI automatisiert die Entwicklung polymorpher Malware-Versionen, die dynamisch die signaturbasierte Erkennung umgehen. Sie hilft außerdem beim Erstellen überzeugender und wirksamer Phishing-Köder. | Erhöhte Erfolgsrate von Social-Engineering-Kampagnen und dynamisches Umgehen herkömmlicher Sicherheitslösungen |
| M1/M2-native Malware | Silver Sparrow (2021) | Sie ist eine der ersten Malware-Ketten, die darauf ausgelegt ist, nativ auf M1-Chips von Apple zu laufen. Sie nutzte ein gefälschtes Adobe-Flash-Update und konnte Fernbefehle ausführen. | Bewies, dass ein natives Ausführen auf Apple Silicon möglich ist, wodurch eingangs über 30 000 Macs infiziert wurden |
| Download-Trojaner | CloudFake, RustyAttr, nordkoreanische Download-Trojaner | Diese First-Stage Loader sind für mehrstufige Kampagnen wichtig. Sie sorgen für die Erstinfizierung, um dann den eigentlichen, schädlicheren Payload (z. B. eine Hintertür oder einen Stealer) herunterzuladen. | Erleichtern mehrstufige Angriffe und erschweren das Erkennen, indem die Erstinfizierung vom eigentlichen Payload abgesplittet wird |
Empfehlungen zur Abwehr
Angesichts der Komplexität der aktuellen macOS-Bedrohungslandschaft ist eine ausgereifte Sicherheitsstrategie nach dem Zero-Trust-Konzept erforderlich.
- System- und App-Updates: Das zeitnahe Anwenden von Patches ist die wirkungsvollste Methode, um Risiken zu minimieren und ausnutzbare Sicherheitslücken wie CVE-2025-43300 zu schließen.
- Erweiterte Endpunktsicherheit: Lösungen zur Endpunkterkennung und -reaktion (EDR) bieten eine fortschrittliche Verhaltensanalyse, sodass verdächtige Aktivitäten erkannt werden können, wie:
osascript-Befehle mit versteckten Parametern (von AMOS genutzt)
unzulässigedscl-Befehle zur Validierung von Zugangsdaten (von Banshee/PyStealer genutzt)- unerwartete
curl-Anfragen oder Binärdateien, die von vorübergehenden temporären Verzeichnissen (/tmp/) ausgeführt werden.
- Aktive Bedrohungssuche: Sicherheitsteams müssen aktiv nach IoCs (Anzeichen für eine Kompromittierung) Ausschau halten, insbesondere
plist-Dateien, die in~/Library/LaunchAgents/geschrieben wurden, um sich dauerhaft einzunisten. - Anwenderschulungen: Die Schulung der Anwender ist wichtiger Bestandteil einer wirkungsvollen Abwehr. Mitarbeiter sollten folgende Bedrohungen erkennen und vermeiden können:
- Malvertising und gefälschte Download-Seiten
- Verdächtigte Dialogfelder, die zur Eingabe von Systempasswörtern auffordern
- Ausführen von Terminal-Befehlen, die von nicht vertrauenswürdigen Webseiten stammen