Anzeichen können ungewöhnliche Netzwerkverbindungen, neue Prozesse auf macOS-Endgeräten oder Credential Leaks im Darknet sein. ProSec bietet dafür verschiedene Assessments, forensische Analysen und Bedrohungssimulationen, um Klarheit zu schaffen.
Cyberkriminelle haben ihre Methoden verfeinert und setzen dabei auf Plattformunabhängigkeit, soziale Manipulation und gezielte Angriffe auf Unternehmenssysteme. Eine aktuelle Warnung von Microsoft macht deutlich, dass macOS längst kein sicheres Terrain mehr ist. Python-basierte Informationsdiebe (Infostealer) wie AMOS, MacSync, DigitStealer und PXA Stealer nutzen raffinierte Täuschungsmanöver wie gefälschte Werbung (Malvertising) und gefälschte Installationsprogramme, um Passwörter, Zugangs-Token, Krypto-Wallets und geistiges Eigentum in großem Stil abzugreifen.
Weshalb dieser Trend zur ernsten geschäftlichen Bedrohung und nicht zur technischen Ausnahme verharmlost werden darf, analysieren wir in diesem Beitrag aus der Perspektive der IT-Sicherheit, Wirtschaftsspionage und Industriesabotage. Zudem zeigen wir, wie ProSec Unternehmen hilft, diese komplexe Bedrohungslage zu erkennen, zu umgehen und strategisch zu bewältigen.
Viele Unternehmen verlassen sich auf den Mythos, macOS sei „sicherer“ als Windows. Diese Annahme mag in Teilen auf veralteten Bedrohungsmodellen basieren, ist jedoch angesichts plattformübergreifender Schadsoftware längst überholt. Die Realität ist: Das Apple-Betriebssystem ist attraktiv für Angreifer — insbesondere in Führungsetagen und bei Entwicklern, wo macOS verbreitet ist und sensible Zugangsdaten gespeichert sind.
Genau dort setzen die neuen Infostealer an. Ganze Kampagnen verwenden Tarnmethoden wie DMG-Installationsdateien, AppleScript-Automatisierung und systemeigene macOS-Werkzeuge, um sich unauffällig Zugang zu:
zu verschaffen — eine Kombination, die weit mehr ermöglicht als nur das Mitlesen von E-Mails.
Laut Microsoft nutzen Angreifer dabei die Programmiersprache Python, um schnell auf mehrere Plattformen zuzugreifen und ihre Malware-Module modular und anpassbar zu gestalten. Dabei setzen sie auf Low-Cost, High-Impact-Taktiken wie Phishing-E-Mails oder gefälschte Werbung auf Google Ads, die legitime Tools wie „DynamicLake“ oder KI-Anwendungen vortäuschen.
Ein zentrales Element der aktuellen Angriffsstrategien ist das Schlagwort „ClickFix“. Hierbei handelt es sich um eine Methode, bei der Anwender dazu verleitet werden, vermeintlich harmlose Codezeilen per Copy-Paste in das Terminal einzufügen – beispielsweise, um ein angeblich blockiertes Installationsskript zu „reparieren“. Diese Täuschung wirkt besonders perfide, da sie das Vertrauen der betroffenen Person direkt instrumentiert und keine echten Schwachstellen auf Betriebssystem- oder Netzwerkebene nutzen muss.
In Kombination mit Malvertising – also der Auslieferung schädlicher Werbung via vermeintlich vertrauenswürdiger Plattformen wie Google Ads – entsteht eine Bedrohungskette, die selbst gut organisierte Unternehmen überraschen kann. Hier wurde ein Paradigmenwechsel vollzogen: vom technischen Exploit zur gezielten psychologischen Täuschung von Mitarbeitenden.
Ein Fallbeispiel: Ein IT-Projektleiter googelt nach einem PDF-Editor für macOS und klickt auf eine Google-Anzeige. Die verlinkte Seite wirkt legitim, die Software vermeintlich bekannt. Doch das DMG-Paket enthält den Infostealer, der unbemerkt Credential Caches aus Safari und Chrome extrahiert und per POST-Anfrage an ein Exfiltrationsziel – häufig ein Telegram-Bot oder ein Tor-basiertes C&C-System – überträgt.
Der Einsatz von Infostealern markiert einen bedeutenden Shift in der Cyberkriminalität: Weg vom einzelfallbasierten Datendiebstahl, hin zu industrialisierter, opferübergreifender Datenausleitung. Unternehmen droht ein potenzieller Verlust existenzieller Geschäftsgeheimnisse: etwa von IP-spezifischem Code, Prototypen, Kundenportalen, Entwicklerzertifikaten oder Cloud-Zugängen.
Besonders bedrohlich ist, dass es sich hier nicht mehr nur um technische Sicherheitsverletzungen handelt, sondern um Einbrüche mit durchschlagender strategischer Wirkung. Ein kompromittiertes Entwicklerkonto etwa kann komplette CI/CD-Ketten untergraben – und so nicht nur das Unternehmen selbst, sondern auch dessen Kunden gefährden.
Die mögliche Konsequenz: Massive Lieferkettenprobleme, Vertrauensverlust bei Partnern – und mit Blick auf gesetzliche Vorgaben wie NIS2 oder DORA auch Bußgelder durch Aufsichtsbehörden.
Die aktuelle Angriffswelle macht deutlich, dass klassische Maßnahmen wie Antivirenprogramme, signaturbasierte Firewalls oder Endpoint Detection & Response (EDR) zunehmend an Wirksamkeit verlieren. Warum? Weil viele der eingesetzten Mittel der Angreifer „living off the land“ sind — also Funktionen nutzen, die das Betriebssystem selbst bereitstellt (z. B. AppleScript, Automator, CronJobs oder LaunchAgents).
Zudem entfällt durch Social Engineering in vielen Fällen der initiale technische Exploit komplett. Die Sicherheitslücke sitzt am Ende der Tastatur — beim Nutzer selbst.
Es braucht also ein Umdenken in den Sicherheitsstrategien auf C-Level: nicht reaktiv-technisch, sondern proaktiv-strukturell.
Die gute Nachricht: Unternehmen können diese Risiken effektiv reduzieren — wenn sie klug handeln. Die folgenden Maßnahmen sind essenziell für eine moderne, resiliente Sicherheitskultur:
Als führender Spezialist für Offensive Security Consulting, Red Teaming und Sicherheitsstrategien versteht ProSec Sicherheitsrisiken nicht nur technisch – sondern in ihrer betriebswirtschaftlichen Relevanz. Unsere Stärke: Wir verbinden Angriffssimulation und Beratung zu Social Engineering, Softwareprüfung (Pentesting) mit tiefem Verständnis für Governance-, Risk- und Compliance-Strukturen.
Für unsere Kunden bedeutet das: Sicherheit, die nicht den IT-Leiter belastet, sondern die Geschäftsführung entlastet.
Konkret unterstützt ProSec Unternehmen bei:
Wenn Sie wissen möchten, ob infostealer-Bedrohungen bereits in Ihrem Umfeld aktiv sind, unterstützen wir Sie mit pragmatischer Expertise, verantwortlichem Vorgehen – und Tools, die Klartext sprechen.
Ein Infostealer ist eine Schadsoftware (Malware), deren primäres Ziel es ist, Informationen auf infizierten Systemen auszuspähen und an den Angreifer weiterzuleiten. Dazu gehören Zugangsdaten, Authentifizierungstoken, Kreditkartennummern oder Daten aus Passwortspeichern.
macOS war lange weniger stark betroffen, wurde jedoch durch moderne, plattformunabhängige Programmierung (z. B. in Python) leichter angreifbar. Zudem nutzen Entscheidungsträger, Entwickler und Kreativabteilungen häufig Apple-Geräte — also Bereiche mit hohem Zugriffspotenzial auf sensible Daten.
Malvertising ist eine Kombination aus „Malware“ und „Advertising“. Dabei wird schädliche Software über Online-Werbeanzeigen verbreitet. Klickt ein Nutzer auf eine manipulierte Anzeige, wird er auf eine infizierte Webseite geleitet, die im Hintergrund Schadcode ausliefert.
ClickFix bezeichnet eine Täuschungsmethode im Social Engineering, bei der Nutzer manipuliert werden, schadhaften Code aktiv in das Terminal oder die Eingabemaske einzufügen – häufig unter dem Vorwand, ein Installationsproblem zu lösen. Dabei wird das Vertrauen des Nutzers gegen ihn selbst verwendet.
Anzeichen können ungewöhnliche Netzwerkverbindungen, neue Prozesse auf macOS-Endgeräten oder Credential Leaks im Darknet sein. ProSec bietet dafür verschiedene Assessments, forensische Analysen und Bedrohungssimulationen, um Klarheit zu schaffen.
