Neue Malware bedroht macOS-Nutzer: Angriffe auf Telegram und Kryptowährungs-Wallets
Heute ist der 17.07.2026, und während wir uns in die Welt der Kryptowährungen vertiefen, gibt es beunruhigende Nachrichten aus dem macOS-Sektor. Eine neue Art von Malware, die gezielt auf Telegram Desktop-Sitzungen und Kryptowährungs-Wallets abzielt, sorgt für Aufregung. Laut der Blockchain-Sicherheitsfirma SlowMist kann diese Malware sensible Daten stehlen und damit erhebliche Risiken für die Nutzer darstellen. Die Bedrohung hat sich so weit entwickelt, dass sie in der Lage ist, die Daten aus dem macOS Keychain, Safari-Cookies, Apple Notes und einer Vielzahl von Wallets zu sammeln.
Die Malware erfasst Passwörter und authentifizierte Sitzungen und kopiert sogar die Daten von Telegram Desktop. Was bedeutet das für die Nutzer? Angreifer könnten die gestohlenen Wallet-Datenbanken offline entschlüsseln, indem sie Passwörter verwenden, die sie zuvor vom infizierten Gerät gesammelt haben. Besonders perfide ist, dass die Zwei-Faktor-Authentifizierung von Telegram nicht vor diesem Angriff schützt. Die Malware nutzt einfach die authentifizierte lokale Sitzung, anstatt eine neue Anmeldung zu erstellen. Forscher konnten sogar gestohlene Daten auf einem anderen Mac wiederherstellen, ganz ohne Telefonnummer oder Bestätigungscode. Die vollständige Analyse der Attacke kann man bei SlowMist nachlesen.
Die Bedrohung durch „CrashStealer“
Und das ist noch nicht alles! Forscher haben eine weitere Malware namens „CrashStealer“ identifiziert, die ebenfalls für macOS entwickelt wurde. Diese Malware ist darauf ausgelegt, Passwörter und Browserdaten zu stehlen und hat sich bis Anfang Juli 2026 so weit entwickelt, dass sie aktiv eingesetzt werden kann. Sie tarnt sich als Apples eigenes Fehlermeldungssystem und verbreitet sich über eine harmlose Meeting-App namens „Werkbit“. Der Dropper dieser Malware hat sogar ein Apple-Notarisationsticket und eine gültige Entwickler-ID, was ihn besonders gefährlich macht.
Der Dropper lädt ein Disk-Image namens „CrashReporter.dmg“ herunter, das dann die „CrashReporter.app“ enthält. Diese App sieht aus wie ein legitimes Apple-Tool und kann Benutzer dazu verleiten, ihre Passwörter einzugeben. Dabei werden Daten von verschiedenen Browsern, Kryptowährungs-Wallets und sogar Passwortmanagern gesammelt. Die Nutzer sollten besonders vorsichtig bei „Werkbit“ und „CrashReporter“ sein und bei jeder Passwortabfrage skeptisch bleiben. Eine Empfehlung zur Installation von Antivirensoftware und zum Bezug von Software aus vertrauenswürdigen Quellen ist hier mehr als angebracht.
Wie man sich schützen kann
Mit all diesen Bedrohungen im Hinterkopf stellt sich die Frage: Was können Nutzer tun, um sich zu schützen? SlowMist empfiehlt Nutzern, die den Verdacht haben, dass ihre Geräte kompromittiert wurden, umgehend bestehende Telegram-Sitzungen zu beenden und eine neue, vertrauenswürdige Anmeldung einzurichten. Es ist ebenfalls ratsam, sowohl das Passwort für die Zwei-Faktor-Authentifizierung als auch den Telegram Desktop-Passcode zu ändern. Wer auf der sicheren Seite sein möchte, sollte eine neue Wiederherungsphrase auf einem sauberen Gerät generieren und alle Vermögenswerte auf neue Adressen übertragen.
Die Welt der Kryptowährungen bietet aufregende Möglichkeiten, zieht aber auch dunkle Schatten mit sich. Die ständige Entwicklung und Verfeinerung von Malware ist ein ernstzunehmendes Problem, das uns alle betrifft. Es bleibt also abzuwarten, wie sich diese Bedrohungen weiterentwickeln und welche Maßnahmen die Sicherheitsfirmen ergreifen werden, um die Nutzer zu schützen.