So entfernen Sie die PamStealer-Malware (Mac)

Mac Virus

Auch bekannt als: PamStealer-Virus

Schadenshöhe:

Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist.

JETZT ENTFERNEN

Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.

Was für eine Malware ist PamStealer?

PamStealer ist ein zweistufiger Informationsdieb, der auf macOS-Benutzer abzielt. Laut von Jamf Threat Labs veröffentlichten Untersuchungen tarnt sich die Malware als Maccy, ein echter Open-Source-Clipboard-Manager, um Opfer dazu zu verleiten, sie selbst auszuführen.

Die erste Stufe ist ein kompiliertes AppleScript, das eine zweite, Rust-basierte Payload herunterlädt. Wenn PamStealer auf einem Mac gefunden wird, sollte es sofort entfernt werden.

Gefälschte Website zur Verbreitung der PamStealer-Malware

PamStealer Übersicht

Forscher von Jamf fanden heraus, dass PamStealer in einem Disk-Image enthalten ist, das eine Datei namens Maccy.scpt enthält. Den Opfern wird gesagt, sie sollen diese Datei im Script Editor öffnen und ⌘+R drücken, um „loszulegen", wodurch in Wirklichkeit das schädliche Skript ausgeführt wird.

Sobald es läuft, erstellt die erste Stufe ein Profil des Macs, indem sie dessen CPU-Architektur, Sprache, Tastaturlayout und Zeitzone prüft. Wenn sich das Gerät scheinbar in Russland, Belarus, Kasachstan oder benachbarten Ländern befindet, stellt die Malware ihre Ausführung einfach ein.

Das Skript prüft außerdem auf Debugging-Tools und System Integrity Protection, bevor es die zweite Stufe herunterlädt, eine in Rust geschriebene ausführbare Mach-O-Datei. Diese Stufe trägt eine Ad-hoc-Codesignatur und ist in einem gefälschten Systemordner versteckt, der so gestaltet ist, dass er dem Finder oder einer Softwareaktualisierungskomponente ähnelt.

Welche Daten stiehlt PamStealer?

PamStealer ist darauf ausgelegt, eine breite Palette sensibler Informationen zu stehlen. Es liest Anmeldeinformationen direkt über das PAM-System von macOS aus, ohne ein sichtbares Terminalfenster öffnen zu müssen.

Die Malware öffnet außerdem Browser-Anmeldedatenbanken mit SQLite, um gespeicherte Passwörter, Cookies und Daten von Kryptowährungs-Wallet-Erweiterungen abzugreifen. Sie führt wiederholt den Befehl pbpaste aus, um alles zu überwachen und zu kopieren, was in die Zwischenablage gelegt wird.

Darüber hinaus lädt PamStealer zur Laufzeit Apples Security-Framework, um Daten aus dem Schlüsselbund, dem integrierten Passwort-Manager von macOS, abzurufen. Wenn das Opfer später vollständigen Festplattenzugriff gewährt, kann die Malware auch auf geschützte Dateien an anderen Stellen des Systems zugreifen.

Wie entgeht PamStealer der Erkennung?

Die Malware setzt auf eine verzögerte Berechtigungsanfrage. Anstatt sofort vollständigen Festplattenzugriff zu verlangen, kann sie bis zu 40 Minuten warten, bevor sie die Aufforderung anzeigt, was es erschwert, die Anfrage mit dem ursprünglichen Download in Verbindung zu bringen.

PamStealer zeigt außerdem als Ablenkung eine gefälschte Fehlermeldung im Gatekeeper-Stil an und tarnt seine Autorisierungsaufforderungen mithilfe eines nativen macOS-Warnfensters, sodass sie wie eine normale Systemanfrage aussehen und nicht wie eine von unbekannter Software.

Laut Jamf verwendete die gefälschte Website in Teilen ihres Inhalts sogar griechische und kyrillische, ähnlich aussehende Zeichen - eine Technik, die als Homoglyphen-Angriff bekannt ist -, um automatisierte textbasierte Scanner zu umgehen.

Persistenz und Kommunikation mit den Angreifern

Um nach einem Neustart installiert zu bleiben, registriert sich PamStealer zweimal als Anmeldeobjekt, einmal über Apples moderne ServiceManagement-API und einmal über eine ältere, veraltete Schnittstelle, die in einer Hilfsdatei enthalten ist.

Gestohlene Daten werden an einen entfernten Server unter avenger-sync[.]live gesendet, über Cloudflare geleitet und mit ChaCha20-Poly1305 verschlüsselt. Die Konfiguration der Malware führt außerdem Ethereum-Netzwerk-Endpunkte auf, was auf ein Interesse am Diebstahl von Kryptowährungen hindeutet.

Bedrohungsübersicht:
Name PamStealer-Virus
Bedrohungstyp Mac-Malware, Mac-Virus, Stealer, Passwort-stehlender Virus.
Symptome Stealer sind darauf ausgelegt, den Computer des Opfers heimlich zu infiltrieren und unauffällig zu bleiben, weshalb auf einem infizierten Rechner keine besonderen Symptome deutlich erkennbar sind.
Erkennungsnamen Combo Cleaner (Trojan.GenericKD.80674484), ESET-NOD32 (OSX/PSW.Agent.IY Trojan), Emsisoft (Trojan.GenericKD.80674484 (B)), Symantec (OSX.Trojan.Gen), Vollständige Liste der Erkennungen (VirusTotal)
Mögliche Verbreitungsmethoden Gefälschte Websites, die sich als legitime Software ausgeben, getarnte Disk-Image-Dateien (DMG), Social Engineering.
Schaden Gestohlene Passwörter und Bankdaten, Identitätsdiebstahl, gestohlene Kryptowährung, finanzieller Verlust, mögliche zusätzliche Infektionen.
Malware-Entfernung (Windows)

Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner.

Combo Cleaner herunterladen

Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.

Fazit

PamStealer ist Malware, die heimlich Passwörter, Schlüsselbunddaten, Browser- und Kryptowährungs-Wallet-Informationen sowie Inhalte der Zwischenablage von einem infizierten Mac sammeln kann. Da sie sich hinter einer gefälschten Kopie einer echten App versteckt und ihre verdächtigsten Anfragen verzögert, bemerken die Opfer möglicherweise erst dann etwas Ungewöhnliches, wenn ihre Konten oder Gelder bereits kompromittiert sind.

Einige Beispiele für Informationsdiebe sind ShadeStager, Infiniti und Miolab.

Wie ist PamStealer in mein Gerät eingedrungen?

PamStealer verbreitet sich über eine gefälschte Website, maccyapp[.]com, die wie die Download-Seite von Maccy aussieht, einem legitimen und beliebten Zwischenablage-Manager für den Mac. Das echte Maccy-Projekt wird ausschließlich über maccy.app vertrieben, und seine offizielle Website warnt Besucher sogar vor Nachahmerseiten.

Opfern, die das gefälschte Disk-Image herunterladen, wird gesagt, sie sollen eine Datei namens Maccy.scpt im Script Editor öffnen und ⌘+R drücken, um „loszulegen". Dieser Schritt führt in Wirklichkeit das schädliche Skript aus und startet die Infektion, anstatt die echte App zu installieren.

Über diese spezielle Kampagne hinaus wird Mac-Malware häufig auf dieselbe Weise verbreitet: gefälschte Download-Seiten, schädliche Werbeanzeigen, gecrackte Software, gefälschte Browser- oder Systemaktualisierungen sowie getarnte Anhänge in Phishing-E-Mails und -Nachrichten.

Wie vermeidet man Malware?

Laden Sie Software nur von der offiziellen Website des Entwicklers oder aus dem Mac App Store herunter und überprüfen Sie die Domain genau, bevor Sie einer Download-Seite vertrauen, besonders bei kleineren, weniger bekannten Dienstprogrammen.

Seien Sie vorsichtig bei jedem Installationsprogramm, das Sie auffordert, ein Skript über den Script Editor oder das Terminal zu öffnen und manuell auszuführen. Legitime Mac-Apps benötigen keinen solchen manuellen Schritt, um „loszulegen".

Wenn Ihr Computer bereits infiziert ist, empfehlen wir, einen Scan mit Combo Cleaner Antivirus für Windows durchzuführen, um alle Bedrohungen automatisch zu beseitigen.

Die gefälschte Website (maccyapp[.]com), die PamStealer verbreitet und die echte Maccy-Download-Seite imitiert:

Gefälschte maccyapp.com-Website, die die PamStealer-Malware verbreitet

Irreführende Anweisungen, die den Opfern gezeigt werden, um sie dazu zu verleiten, das schädliche Skript manuell auszuführen:

Gefälschte Schritt-für-Schritt-Anweisungen zum Starten von PamStealer

Die echte Maccy-Website (maccy.app), die Besucher vor Nachahmerseiten warnt:

Offizielle Maccy-Website mit Warnung vor gefälschten Websites

Umgehende automatische Entfernung von Malware:

Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:

LADEN Sie Combo Cleaner herunter

Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu. Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.

Schnellmenü:

Entfernung unerwünschter Anwendungen:

Entfernen Sie potenziell unerwünschte Anwendungen aus Ihrem Ordner „Programme":

Manuelle Entfernung schädlicher Mac-Anwendungen

Klicken Sie auf das Finder-Symbol. Wählen Sie im Finder-Fenster „Programme". Suchen Sie im Programme-Ordner nach „MPlayerX", „NicePlayer" oder anderen verdächtigen Anwendungen und ziehen Sie diese in den Papierkorb. Nachdem Sie die potenziell unerwünschte(n) Anwendung(en) entfernt haben, die Online-Werbung verursachen, scannen Sie Ihren Mac auf verbleibende unerwünschte Komponenten.

LADEN Sie die Entfernungssoftware herunter

Combo Cleaner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.

Häufig gestellte Fragen (FAQ)

Mein Gerät ist mit der PamStealer-Malware infiziert. Sollte ich mein Speichergerät formatieren, um sie loszuwerden?

Dies entfernt PamStealer vollständig, löscht aber auch alles, was auf dem Gerät gespeichert ist. Bevor Sie einen so drastischen Schritt unternehmen, wird generell empfohlen, zunächst ein zuverlässiges Anti-Malware-Tool wie Combo Cleaner auszuprobieren.

Was sind die größten Probleme, die Malware verursachen kann?

PamStealer extrahiert und exfiltriert Daten von infizierten Geräten, darunter Passwörter, Schlüsselbund-Einträge, Browserdaten und Inhalte der Zwischenablage. Infektionen dieser Art können zu Kontenübernahmen, gestohlener Kryptowährung, Identitätsdiebstahl und anderen finanziellen Verlusten führen.

Was ist der Zweck der PamStealer-Malware?

Der Zweck von PamStealer besteht darin, sensible Daten von infizierten macOS-Geräten zu stehlen, darunter Anmeldeinformationen, Schlüsselbund-Passwörter, Browser- und Kryptowährungs-Wallet-Daten sowie alles, was in die Zwischenablage kopiert wird.

Wie ist die PamStealer-Malware in meinen Computer eingedrungen?

PamStealer wird über eine gefälschte Website verbreitet, die den echten Maccy-Zwischenablage-Manager imitiert. Die Opfer werden angeleitet, ein getarntes Skript im Script Editor zu öffnen und manuell auszuführen, wodurch die Malware unbemerkt im Hintergrund installiert wird.

Wird Combo Cleaner mich vor Malware schützen?

Ja, Combo Cleaner kann die meisten bekannten Malware-Infektionen erkennen und entfernen. Beachten Sie, dass die Durchführung eines vollständigen Systemscans unerlässlich ist, da sich raffinierte Malware wie PamStealer in der Regel tief im System versteckt.

Teilen:

facebook
X (Twitter)
linkedin
Link kopieren
Tomas Meskauskas

Tomas Meskauskas

Erfahrener Sicherheitsforscher, professioneller Malware-Analyst

Meine Leidenschaft gilt der Computersicherheit und -technologie. Ich habe mehr als 10 Jahre Erfahrung in verschiedenen Unternehmen im Zusammenhang mit der Lösung computertechnischer Probleme und der Internetsicherheit. Seit 2010 arbeite ich als Autor und Redakteur für PCrisk. Folgen Sie mir auf Twitter und LinkedIn, um über die neuesten Bedrohungen der Online-Sicherheit informiert zu bleiben.

▼ Diskussion einblenden

Das Sicherheitsportal PCrisk wird von der Firma RCS LT bereitgestellt.

Gemeinsam klären Sicherheitsforscher Computerbenutzer über die neuesten Online-Sicherheitsbedrohungen auf. Weitere Informationen über das Unternehmen RCS LT.

Unsere Anleitungen zur Entfernung von Malware sind kostenlos. Wenn Sie uns jedoch unterstützen möchten, können Sie uns eine Spende schicken.

Spenden