Die Annahme, macOS sei für Cyberkriminelle wenig attraktiv, ist längst überholt. Ein aktuelles Beispiel liefert der Stealer MacSync, der inzwischen über ein vollständig signiertes und von Apple notarisiertes Swift‑Programm verbreitet wird. Dadurch wirkt die Malware wie legitime Software, passiert Gatekeeper ohne Warnung und erhöht so signifikant die Erfolgsquote von Infektionen.
Signierte Swift-App als Einfallstor: Angriffskette von MacSync
Forschende von Jamf analysierten einen neuen MacSync-Build, der in einem Disk-Image mit dem Namen zk-call-messenger-installer-3.9.2-lts.dmg versteckt war. Dieses Image wurde über die Webseite zkcall[.]net/download angeboten und präsentierte sich als Installer eines vermeintlich legitimen Messengers. Für Nutzer wirkt der Vorgang wie eine normale Softwareinstallation – ohne Terminalbefehle oder auffällige Skripte.
Zum Zeitpunkt der Analyse war die Anwendung gültig signiert, notarisiert und bestand die Gatekeeper-Prüfung problemlos. Der zugrunde liegende Mach-O-Binary war an eine Entwickler-ID mit dem Team Identifier GNJLS3UYZ4 gebunden. Erst nach Hinweis der Forschenden wurde das Zertifikat widerrufen. Der Fall illustriert, dass Angreifer Entwicklerzertifikate zunehmend missbrauchen, sei es durch Diebstahl, Kauf auf Untergrundmärkten oder Registrierung unter falschen Identitäten.
Technische Merkmale: Tarnmechanismen und Evasion-Techniken des Stealers
MacSync gelangt über einen Dropper ins System, der den eigentlichen Schadcode zunächst kodiert vorhält. Nach der Entschlüsselung zeigt sich ein Funktionsumfang, der klar der MacSync-Familie zuzuordnen ist. Die Implementierung als nativer Mach-O-Binary sorgt für eine enge Integration in macOS und reduziert klassische Signatur-Artefakte, die von Antivirenlösungen erkannt werden könnten.
Die aktuelle Variante setzt auf mehrere Evasion-Techniken. Das DMG-Image wurde künstlich auf rund 25,5 MB aufgebläht, indem mehrere PDF-Köder integriert wurden. Dies erschwert statische Analysen und verschleiert das tatsächliche Payload-Verhältnis. Während der Ausführung entfernt die Malware Hilfsskripte, die im Startprozess genutzt werden, um die Rekonstruktion der Angriffskette zu behindern. Zusätzlich prüft MacSync vor der Aktivierung das Vorhandensein einer Internetverbindung – ein typischer Ansatz, um Ausführung in isolierten Analyseumgebungen und automatisierten Sandboxes ohne Netzwerkzugang zu vermeiden.
Herkunft von MacSync und Rolle im Ökosystem der macOS-Stealer
Erstmalig wurde die Familie im April 2025 unter der Bezeichnung Mac.C dokumentiert. Damals wurde der Stealer einem Entwickler mit dem Alias Mentalpositive zugeschrieben. Bereits im Juli 2025 hatte sich MacSync als etablierter Stealer für macOS im Cybercrime-Ökosystem positioniert – neben bekannten Werkzeugen wie AMOS und Odyssey. Branchenberichte verschiedener Sicherheitsanbieter zeigen seit Jahren einen deutlichen Anstieg spezialisierter macOS-Malware, insbesondere solcher, die auf das Abgreifen von Zugangsdaten und Kryptowerten zielt.
Welche Daten MacSync aus macOS-Systemen exfiltriert
Die von MacPaw Moonlock untersuchte Variante Mac.C verdeutlicht die Bandbreite des Datendiebstahls. MacSync fokussiert sich unter anderem auf Zugangsdaten aus iCloud Keychain, gespeicherte Passwörter in Browsern, Cookies und Auto-Fill-Daten. Zusätzlich werden Systeminformationen wie Hardware- und OS-Metadaten, installierte Anwendungen, Inhalte von Kryptowallets sowie gezielt ausgewählte Dateien aus der lokalen Dateistruktur gesammelt.
Die Kombination dieser Informationen ermöglicht weiterführende Angriffe: Account-Übernahmen, gezielte Phishing-Kampagnen, finanzieller Betrug und – im Unternehmensumfeld besonders kritisch – gezielte Spionage und laterale Bewegung in Netzwerken.
Wenn Apple-Signatur und Notarisierung kein Sicherheitsgarant mehr sind
Der Missbrauch einer signierten und notarisierten macOS-App durch MacSync unterstreicht ein strukturelles Problem: Vertrauensmechanismen wie Entwicklerzertifikate, Notarisierung und Gatekeeper sind notwendige, aber keine hinreichenden Sicherheitskontrollen. Die Praxis zeigt, dass Zertifikate kompromittiert oder betrügerisch erlangt werden können. Nutzer und auch Unternehmensrichtlinien, die nach dem Motto „Gatekeeper hat es erlaubt, also ist es sicher“ handeln, bewegen sich damit in einer trügerischen Komfortzone.
Konkrete Schutzmassnahmen gegen MacSync und andere macOS-Stealer
Erstens sollten Signatur- und Gatekeeper-Prüfungen nicht als alleinige Vertrauensgrundlage dienen. macOS und integrierte Schutzmechanismen müssen konsequent aktualisiert werden, sollten jedoch um EDR- und Antimalware-Lösungen seriöser Anbieter ergänzt werden, die verhaltensbasiert arbeiten und auch signierte Malware erkennen können.
Zweitens ist der Bezug von Software möglichst auf den Mac App Store und klar verifizierbare Herstellerseiten zu beschränken. Dabei sind Domainnamen, TLS-Zertifikate und mögliche Typosquatting-Varianten sorgfältig zu prüfen. Für sicherheitskritische Installationspakete empfiehlt sich die Prüfung von Hashwerten gegen Herstellerangaben oder vertrauenswürdige Repositories.
Drittens gilt das Prinzip der minimalen Rechtevergabe. Anwendungen sollten nur die unbedingt erforderlichen Zugriffe auf Dateisystem, Keychain, Browserdaten und Kryptowallets erhalten. Anfragen auf Zugriff zu „Zugriff auf die Schlüsselbundverwaltung“ oder sensiblen Ordnern sollten kritisch hinterfragt werden. In Unternehmen sind zusätzlich verbindliche Application-Control-Policies, Schulungen der Mitarbeitenden sowie kontinuierliches Monitoring verdächtiger Aktivitäten auf Endgeräten entscheidend.
Die Weiterentwicklung von MacSync zeigt, dass sich Angreifer technisch und organisatorisch an Apples Sicherheitsarchitektur anpassen. Wer macOS-Systeme betreibt – privat oder im Unternehmen – sollte sich nicht auf den Markennamen oder eine Notarisierungsplakette verlassen, sondern auf eine Kombination aus technischen Schutzmassnahmen, klaren Prozessen und aufgeklärten Nutzern. Nur so lassen sich der Diebstahl von Passwörtern, iCloud-Keychain-Daten und finanziellen Assets durch moderne Stealer wirksam eindämmen.
