Eine neue Welle von Mac-Malware missbraucht den guten Ruf bekannter Software-Marken: Laut LastPass locken Angreifer macOS-Nutzer über manipulierte Suchergebnisse und täuschend echte GitHub-Seiten zu gefälschten „Installationsseiten“. Statt eines legitimen Passwort-Managers landet der Info-Stealer „Atomic“ (AMOS) auf dem System – mit dem Ziel, Passwörter, Schlüsselbund-Einträge, Browser-Daten und Krypto-Wallets zu stehlen. LastPass berichtet von einer großangelegten Kampagne, die seit Mitte September 2025 aktiv ist und teils über Google und Bing per SEO-Poisoning sichtbar gemacht wird. Sicherheitsberichte bestätigen die Vorgehensweise und ordnen die Kampagne in eine Serie jüngster ClickFix-Angriffe ein, bei denen Nutzer mit vermeintlich harmlosen Ein-Zeilen-Befehlen zur Ausführung von Schadcode verleitet werden.

Inhaltsverzeichnis

So funktioniert die Täuschung: GitHub-Pages, Weiterleitungen und „ClickFix“

Die Betrüger erstellen GitHub-Pages, die offizielle Downloadseiten imitieren („Install LastPass on MacBook“ u. Ä.) und nach dem Klick auf einen Download-Button auf eine externe Domain führen. Dort erhalten Nutzer eine scheinbar notwendige Terminal-Anweisung – der Kern der ClickFix-Masche. Diese Ein-Zeilen-Kommandos holen per curl eine Base64-kodierte URL, die wiederum ein Shell-Skript (z. B. install.sh) in /tmp ablegt und ausführt; am Ende steht die Auslieferung des AMOS-Stealers. LastPass nennt konkrete Ketten wie die Umleitung von GitHub auf macprograms-pro[.]com bis hin zu bonoud[.]com/get3/install.sh und listet Indikatoren (IoCs) inklusive Hash-Werten. BleepingComputer zeigt zudem, dass die Seiten SEO-optimiert sind und Nutzer aktiv zum Kopieren des Terminal-Befehls anleiten.

Was AMOS kann – und warum es jetzt noch gefährlicher ist

Atomic/AMOS ist ein „Malware-as-a-Service“, das seit 2023 gezielt macOS angreift. Es sammelt Schlüsselbund-Passwörter, Browser-Cookies und -Logins, Dokumente sowie Dateien und zielt auf populäre Wallets. Analysen beziffern das Abo für Täter auf rund 1.000 US-Dollar pro Monat. Neuere AMOS-Varianten enthalten zusätzlich eine Backdoor-Komponente für dauerhaften Zugriff: Über persistente LaunchDaemons (u. a. com.finder.helper) bleibt der Angreifer auch nach Neustarts aktiv, kann Befehle ausführen, weitere Payloads nachladen und die Kontrolle langfristig sichern. Das verschiebt AMOS von einem reinen Datendieb zu einem dauerhaft verankerten Eindringling – mit entsprechend höherem Risiko für Betroffene.

Mehr als LastPass betroffen: über 100 Marken imitiert

Die Kampagne beschränkt sich nicht auf Passwort-Manager. Berichte nennen über 100 vorgetäuschte Software-Titel und Dienste – darunter 1Password, Dropbox, Confluence, Notion, Google Gemini, Audacity, Adobe After Effects, Thunderbird, Robinhood, Fidelity und sogar Security-Produkte. Ziel ist es, über die Markenbekanntheit Vertrauen zu erschleichen, Takedowns zu umgehen (viele kurzlebige Repositories/Konten) und eine möglichst breite Opferbasis zu erreichen.

Warum gerade GitHub-Pages? Sichtbarkeit, Vertrauen, Tempo

GitHub-Pages geben den Angreifern drei Vorteile: Erstens Vertrauen durch die bekannte Domain, zweitens sehr schnelle Veröffentlichung und Neuanlage nach Takedowns und drittens gute Sichtbarkeit durch SEO-Tuning der Repos und Landingpages. Sicherheitsreporter beschreiben die Aktion als groß angelegte SEO-Poisoning-Kampagne, bei der GitHub-Seiten in den Suchergebnissen nach oben gespült werden und so legitime Anbieter ausstechen.

Indikatoren & Spuren: Woran du eine Infektion erkennen kannst

Technische Anzeichen, die im Zusammenspiel auf AMOS hindeuten: in der Shell-History auftauchende Ein-Zeilen-Befehle mit curl und Base64-Dekodierung, temporär abgelegte Installer wie /tmp/install.sh, Netzwerkzugriffe auf genannte Domains (u. a. bonoud[.]com), sowie Persistenz-Artefakte wie LaunchDaemons (com.finder.helper). LastPass hat eine ausführliche IoC-Liste veröffentlicht, inklusive betroffener Repositories und Hash-Werte (z. B. SHA-256 für „Atomic Stealer“). Wer Verdacht schöpft, sollte Netzwerk- und Endpoint-Logs prüfen und ein AV/EDR mit aktueller macOS-Signaturbasis laufen lassen.

Schutzmaßnahmen: So vermeidest du die Falle

Nur von Originalseiten laden: Software stets von der offiziellen Hersteller-Domain beziehen – nicht von „Hilfsseiten“, Forenposts oder zufälligen GitHub-Repos.
Keine Terminal-Befehle blind übernehmen: ClickFix-Maschen leben davon, dass Nutzer Ein-Zeilen-Kommandos kopieren. Unverstandene Befehle nicht ausführen.
Signaturen und Notarisierung prüfen: Auf Gatekeeper-Hinweise achten, Paket-Signaturen verifizieren; fehlende oder manipulierte Signaturen sind ein Warnsignal.
macOS & XProtect aktuell halten: System- und Sicherheitsupdates zeitnah einspielen; viele Stealer-Ketten variieren rasant, Updates erhöhen die Hürde.
EDR/AV für macOS einsetzen: Lösungen, die AMOS/ClickFix-Taktiken erkennen, verbessern die Erkennungsrate und liefern forensische Spuren.
Marken-Imitate misstrauen: Sogar Security-Tools, Kreativ-Apps und Finanz-Software werden gefälscht; Suchtreffer kritisch prüfen, nicht auf „zu perfekte“ GitHub-Repos hereinfallen.

Einordnung: LastPass, GitHub & die Reaktion der Branche

LastPass hat nach eigenen Angaben mehrere falsche GitHub-Seiten identifiziert (u. a. angelegt am 16. September) und zur Abschaltung gemeldet; zugleich wurden detaillierte IoCs veröffentlicht, um Verteidiger zu unterstützen. Fachmedien und weitere Sicherheitsforscher dokumentieren parallele Kampagnen, die dieselbe ClickFix-Taktik gegen macOS einsetzen und teils andere Köder (z. B. „Mac-Problemlöser“, „Cracked Apps“) nutzen. Zusammengenommen zeichnet sich ein klarer Trend ab: Social Engineering plus Terminal-Befehle hebeln Schutzschichten aus – Nutzeraufklärung, saubere Download-Pfadwahl und technische Telemetrie sind derzeit die wirksamsten Gegenmittel.

Fazit

Die Kampagne „Fake Passwort-Manager“ zeigt, wie effizient Angreifer Vertrauen, Marken und Entwicklerplattformen ausnutzen, um Macs mit AMOS zu infizieren. Wer Software nur von Originalquellen lädt, keine Terminal-Snippets aus dubiosen Webseiten ausführt, System/AV aktuell hält und bei GitHub-„Downloads“ doppelt hinschaut, reduziert das Risiko erheblich. Unternehmen sollten parallel Netzwerk- und Endpoint-Telemetrie auf die von LastPass publizierten IoCs hin prüfen – und Nutzer für ClickFix-Taktiken sensibilisieren.