Fake CleanMyMac-App infiziert Macs mit gefährlichem
Eine raffinierte Kampagne lockt Nutzer auf eine gefälschte Website und manipuliert sie zur Installation einer Malware, die Passwörter, Krypto-Wallets und sensible Daten stiehlt.
Datum
10. März 2026
Key Takeaways:
- Eine gefälschte CleanMyMac-Website (
cleanmymacos[DOT]org) verbreitet den SHub-Infostealer. - Nutzer werden manipuliert, Terminal-Befehle einzufügen, die die Malware installieren – und umgehen so Gatekeeper & Co.
- Die Malware stiehlt Passwörter, Krypto-Wallets, iCloud-Daten und installiert eine persistente Backdoor.
Raffinierte Köder-Website imitiert Original
Sicherheitsforscher von Malwarebytes warnen vor einer hochgradig ausgefeilten Kampagne. Angreifer haben eine täuschend echte Kopie der Website des legitimen macOS-Optimierungstools CleanMyMac von MacPaw erstellt. Die Domain cleanmymacos[DOT]org ist für unachtsame Nutzer kaum vom Original zu unterscheiden.
Der entscheidende Haken: Statt eines normalen Installers werden Besucher aufgefordert, einen speziellen Befehl in das Terminal zu kopieren und auszuführen. Dieser Befehl lädt die Schadsoftware erst dann von einem externen Server herunter.
„Anstatt eine Schwachstelle auszunutzen, bringt sie den Nutzer dazu, die Malware selbst auszuführen“, erklären die Experten von Malwarebytes.
So umgeht SHub die macOS-Sicherheit
Diese „ClickFix“-Methode ist besonders tückisch, weil sie zentrale Schutzmechanismen von macOS aushebelt:
- Gatekeeper kann nicht prüfen, was per Terminal-Befehl geladen wird.
- Notarization und XProtect sind machtlos, sobald der Nutzer den Befehl ausführt.
Während der Installation fordert SHub zudem das macOS-Benutzerpasswort an – ein Schritt, den technikaffine Nutzer vielleicht als normal abtun. Mit diesem Passwort erlangt die Malware jedoch Zugriff auf den gesamten macOS Keychain, Wi-Fi-Zugangsdaten, App-Tokens und private Schlüssel.
Systematischer Diebstahl von Daten und Krypto
Mit den erlangten Berechtigungen beginnt SHub eine systematische Durchsuchung des infizierten Rechners. Die Malware stiehlt:
- Gespeicherte Passwörter und Cookies
- Autofill-Daten
- Erweiterungen für Krypto-Wallets
- iCloud-Kontodaten
- Telegram-Sessions
- Und andere wertvolle Dateien
Persistente Backdoor für anhaltenden Zugriff
Nach dem initialen Diebstahl installiert SHub eine zweistufige Backdoor. Diese ersetzt einige Krypto-Wallet-Apps durch manipulierte Kopien, um langfristigen Zugriff und weiteren Diebstahl von Kryptowährungen zu ermöglichen.
Abschließend richtet die Malware einen LaunchAgent ein, der einen Google-Update-Dienst vortäuscht. Dies gibt den Angreifern die Möglichkeit, jederzeit weitere Befehle auf dem infizierten Mac auszuführen – bis der Mechanismus entdeckt und entfernt wird.
So schützen Sie sich
Nutzer sollten extrem vorsichtig sein, wenn sie aufgefordert werden, Terminal-Befehle von unbekannten Websites auszuführen. Überprüfen Sie immer die exakte URL von Software-Downloads und laden Sie Tools nur von den offiziellen Hersteller-Websites oder dem Mac App Store herunter.
- Laden Sie Software nur von vertrauenswürdigen, offiziellen Quellen.
- Seien Sie skeptisch bei ungewöhnlichen Installationsanweisungen.
- Verwenden Sie eine zuverlässige Sicherheitssoftware für regelmäßige Scans.
- Geben Sie Ihr Administrator-Passwort nur bei absolut vertrauenswürdigen Systemaufforderungen ein.
Die Kampagne zeigt, wie soziale Manipulation (Social Engineering) technische Schutzvorkehrungen aushebeln kann. Wachsamkeit und gesundes Misstrauen bleiben die wichtigsten Verteidigungslinien.