- CrashStealer tarnt sich als Apple-Komponente für Absturzberichte
- Die Malware stiehlt Passwörter, Browser- und Schlüsselbunddaten
- Rund 80 Krypto-Wallet-Erweiterungen werden anvisiert
- Ein notarisiertes Installationsprogramm konnte Gatekeeper passieren
- Apple hat die verwendeten Signaturzertifikate widerrufen
Sicherheitsforscher von Jamf Threat Labs warnen vor einer Mac-Schadsoftware namens CrashStealer. Der Infostealer soll sich als Apples integrierte Komponente für Absturzberichte ausgeben und auf sensible Daten wie Passwörter, Browserinformationen und Inhalte aus Krypto-Wallets zugreifen.
Jamf entdeckte nach eigenen Angaben Anfang Mai 2026 eine verdächtige Datei bei VirusTotal. Anfang Juli seien dann erste aktive Infektionen festgestellt worden. Die Schadsoftware werde über ein vermeintliches Installationsprogramm namens „Werkbit Setup“ verteilt.
Notarisierte App passiert Gatekeeper
Besonders auffällig ist der Verbreitungsweg: Das Installationsprogramm war laut Jamf mit einer gültigen Entwickler-ID signiert und von Apple notarisiert. Dadurch konnte es beim ersten Start die Sicherheitsprüfung durch Gatekeeper passieren.
Gatekeeper ist eine Sicherheitsfunktion von macOS. Sie prüft heruntergeladene Programme unter anderem auf eine gültige Signatur und eine Notarisierung durch Apple. Eine Notarisierung ist jedoch keine Garantie dafür, dass eine Anwendung dauerhaft frei von Schadsoftware ist.
Das Installationsprogramm lädt anschließend eine Anwendung namens „CrashReporter.app“ nach. Name, Symbol und interne Kennung sollen den Eindruck erwecken, es handle sich um eine legitime Systemkomponente von Apple. Tatsächlich ist Apples eigener Dienst für Absturzberichte bereits Bestandteil von macOS und muss nicht separat heruntergeladen werden.
Die untersuchte Version der Werkbit-App wurde offenbar nur nach Eingabe einer PIN angeboten. Jamf vermutet deshalb, dass sich die Kampagne zumindest zeitweise gegen ausgewählte Personen richtete und nicht wahllos verbreitet wurde.
Gefälschte Passwortabfrage unter macOS
Nach dem Start zeigt CrashStealer laut der Analyse eine native Passwortabfrage an, die wie ein regulärer macOS-Dialog aussieht. Das eingegebene Anmeldepasswort werde lokal überprüft. Bei einer falschen Eingabe erscheine die Aufforderung erneut.
Mit einem gültigen Passwort versucht die Malware dem Bericht zufolge, den persönlichen Schlüsselbund des Nutzers zu entsperren. Darin können unter anderem Zugangsdaten, WLAN-Passwörter und andere vertrauliche Informationen gespeichert sein.
CrashStealer soll außerdem Daten aus Chromium-basierten Browsern wie Chrome, Edge, Brave, Opera und Vivaldi sammeln. Hinzu kommen Informationen aus rund 80 Erweiterungen für Krypto-Wallets und aus 14 Passwortmanagern. Jamf nennt unter anderem 1Password, Bitwarden, LastPass, Dashlane, Keeper und KeePassXC.
Auch Dokumente und Downloads im Visier
Zusätzlich durchsucht die Schadsoftware dem Bericht zufolge die Ordner „Dokumente“ und „Downloads“ nach Dateien, die für die Angreifer interessant sein könnten. Bestimmte große Dateien, Installationspakete und Medienformate werden dabei gezielt ausgelassen.
Die gesammelten Informationen verschlüsselt CrashStealer mit AES-256-GCM und überträgt sie anschließend an einen externen Server. Die Verschlüsselung schützt in diesem Fall nicht den Betroffenen, sondern erschwert die Untersuchung der erbeuteten Daten auf dem infizierten Mac.
Jamf meldete die verwendete Entwickler-ID an Apple. Apple habe die zugehörigen Signaturzertifikate inzwischen widerrufen. Der konkret untersuchte Verbreitungsweg dürfte dadurch nicht mehr funktionieren. Die Schadsoftware oder angepasste Varianten könnten jedoch über andere Installationsdateien erneut auftauchen.
Mac-Nutzer sollten misstrauisch werden, wenn eine heruntergeladene Anwendung einen separaten „CrashReporter“ installieren möchte oder direkt nach dem Start das Systempasswort verlangt. Programme sollten möglichst aus dem Mac App Store oder unmittelbar von der offiziellen Website des jeweiligen Entwicklers bezogen werden.









