CrashStealer ist ein neuer Infostealer für macOS, der sich als Apples CrashReporter-Komponente tarnt, mithilfe eines von Apple beglaubigten Installationsprogramms Gatekeeper umgeht, Nutzer dazu verleitet, ihr Passwort preiszugeben, und anschließend systematisch Browser, Passwortmanager, Krypto-Wallets und Keychain-Geheimnisse ausplündert, bevor er diese in AES-verschlüsselten Bundles abzieht.
Forscher verfolgen die Entwicklung von CrashStealer seit Mai 2026. Die Malware gibt sich als Apples CrashReporter-Komponente aus, indem sie den Namen „CrashReporter.app“ annimmt. Außerdem erstellt sie einen LaunchAgent mit dem Namen „com.apple.crashreporter.helper“ und verwendet das Symbol sowie die Metadaten des legitimen Tools, um so vertrauenswürdig wie möglich zu wirken.
Gatekeeper – im Grunde genommen der „Türsteher“ von macOS – prüft, ob eine App sicher aussieht, bevor er ihre Ausführung zulässt. Durch die Verwendung eines notariell beglaubigten Installationsprogramms – also eines, das Apple geprüft und als zulässig abgestempelt hat – ist es wahrscheinlicher, dass Gatekeeper die App ohne Alarm durchlässt. Eine notarielle Beglaubigung bedeutet nicht, dass Apple die Malware absichtlich genehmigt hat. Es bedeutet lediglich, dass das Installationsprogramm die automatisierten Prüfungen von Apple bestanden hat und die Angreifer dieses Vertrauen missbraucht haben.
Das notariell beglaubigte Installationsprogramm mit dem Namen „Werkbit Setup“ wird über eine gefälschte Software-Website verbreitet, die Ende Juni registriert wurde und nur mit einer Meeting-PIN (Personal Identification Number) zugänglich ist, was auf eine gezielte Kampagne hindeutet, die ausschließlich auf Einladung zugänglich ist.
Nach dem Start zeigt die Malware eine gefälschte macOS-Passwortabfrage an, wie sie Nutzer normalerweise erwarten, wenn sie einen legitimen Systemvorgang ausführen, für den Administratorrechte erforderlich sind. Tatsächlich nutzt die Malware dieses Passwort jedoch, um den Schlüsselbund des Nutzers zu entsperren, in dem Passwörter und andere sensible Daten im verschlüsselten Passwort-Tresor von macOS gespeichert sind.

Die Malware stiehlt anschließend Browser-Anmeldedaten und Cookies, Erweiterungen für Kryptowährungs-Wallets, Daten aus Passwort-Managern sowie kleine Dateien aus gängigen Benutzerverzeichnissen. Die gestohlenen Daten werden verschlüsselt und an einen Command-and-Control-Server (C2) gesendet.
CrashStealer macht deutlich, dass macOS nach wie vor im Visier von Angreifern steht, die es auf die Entwendung von Anmeldedaten abgesehen haben. Notarisierung und Gatekeeper verringern zwar viele Arten von Risiken, machen jedoch mehrschichtige Abwehrmaßnahmen, umsichtiges Nutzerverhalten und eine kontinuierliche Überwachung auf Bedrohungen nicht überflüssig.
Wie man sicher bleibt
Es gibt einige Maßnahmen, mit denen Sie sich vor CrashStealer und anderen Infostealern schützen können.
- Seien Sie skeptisch gegenüber „CrashReporter“-Downloads. Die Tools von Apple zur Fehlerberichterstattung sind bereits in macOS integriert, sodass Sie niemals eine separate CrashReporter-App von einer Website eines Drittanbieters herunterladen müssen.
- Seien Sie bei PIN-geschützten Installationsprogrammen vorsichtig. Wenn Sie im Rahmen einer Einladung zu einer Besprechung oder bei der Nutzung eines Tools für die Zusammenarbeit aufgefordert werden, Software von einer unbekannten Domain herunterzuladen und eine private PIN einzugeben, um das Installationsprogramm zu entsperren, überprüfen Sie die Anfrage bitte über einen separaten, vertrauenswürdigen Kanal beim Organisator.
- Betrachten Sie eine Passwortabfrage, die unmittelbar nach dem Start einer neuen oder unbekannten App erscheint – insbesondere wenn diese vorgibt, eine Systemkomponente zu sein –, als Warnsignal.
- Verwenden Sie seriöse Sicherheitssoftware, die macOS unterstützt. Halten Sie diese sowie macOS selbst stets auf dem neuesten Stand.
- Verteilen Sie Ihre Risiken. Vermeiden Sie es nach Möglichkeit, hochwertige Krypto-Wallets, Passwort-Tresore und Anmeldedaten für das tägliche Surfen auf demselben Rechner und im selben Benutzerprofil zu speichern.
Malwarebytes CrashStealer als „MacOS.Stealer.Crash“.
Wir berichten nicht nur über Bedrohungen - wir beseitigen sie
Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Laden Sie noch heute Malwarebytes herunter, um Bedrohungen von Ihren Geräten fernzuhalten.




