Lazarus-Gruppe attackiert macOS mit KI und Fake-Jobinterviews

Die als Sapphire Sleet bekannte Gruppe lockt Opfer in gefälschte Zoom-Meetings und stiehlt sensible Daten.

Viele iPhone-Nutzer übersehen nach dem Update diese gefährliche Einstellung. Ein Apple-Experte erklärt in diesem kostenlosen Ratgeber, wie Sie Ihre Daten mit wenigen Klicks wirklich schützen und iOS-Updates sicher installieren. So installieren Sie iOS-Updates sicher

Gefälschte Recruiter als Einfallstor

Die aktuelle Angriffswelle, die Mitte April 2026 an Intensität zunahm, zielt vor allem auf Fachkräfte aus den Bereichen Kryptowährung, Blockchain und Venture Capital ab. Die Angreifer erschaffen täuschend echte Recruiter-Profile auf Plattformen wie LinkedIn. Sie bieten lukrative Stellen an und vereinbaren technische Vorstellungsgespräche – die eigentliche Falle.

Im nächsten Schritt erhalten die Opfer eine Einladung zu einem Meeting auf einer Domain, die den Videokonferenz-Dienst Zoom perfekt imitiert. Während des Gesprächs nutzen die Hacker oft KI-generierte oder vorab aufgezeichnete Videos, um den Eindruck einer echten Unterhaltung zu erwecken. Anschließend wird ein angebliches Update ("Zoom SDK Update.scpt") als Lösung für ein vorgetäuschtes Audio-Problem zum Download angeboten.

Diese Datei ist ein kompiliertes AppleScript. Um eine manuelle Überprüfung zu erschweren, enthält der Code tausende Leerzeilen, die den schädlichen Teil verstecken. Nach der Ausführung startet eine mehrstufige Infektionskette, die legitime Systemwerkzeuge missbraucht.

Technische Tiefenanalyse des macOS-Schadcodes

Das Finale des Angriffs ist die Installation einer schädlichen macOS-Anwendung namens "systemupdate.app". Sie tarnt sich als legitimes Software-Update. Laut Microsoft löst diese App einen nativen macOS-Passwort-Dialog aus, der kaum vom echten System-Prompt zu unterscheiden ist. Gibt der Nutzer sein Passwort ein, erbeuten die Angreifer valide System-Zugangsdaten.

Die gestohlenen Daten – inklusive Login-Informationen, Krypto-Wallets, Browserverlauf und sensibler Dateien aus Apps wie Apple Notes und Telegram – werden über die Telegram Bot API abgeflossen. Die Malware versucht zudem, die macOS-Schutzmechanismen (TCC) zu umgehen, die App-Berechtigungen für Kamera und Mikrofon verwalten.

Parallel dazu läuft eine separate Kampagne der Gruppe BlueNoroff, die Software-Entwickler ins Visier nimmt. Unter dem Namen "GhostHire" geben sich Hacker als Recruiter aus und bitten Kandidaten, technische Tests in präparierten GitHub-Repositories durchzuführen. Diese enthalten bösartige Konfigurationsdateien für Visual Studio Code, die beim Öffnen automatisch eine Backdoor auf dem macOS-System einrichten.

Hacker nutzen Sicherheitslücken in Messengern wie WhatsApp gezielt aus, um private Daten abzugreifen. Dieser kostenlose Report zeigt Ihnen eine sichere Alternative und wie Sie in nur 5 Minuten für maximalen Datenschutz sorgen. Kostenlosen Ratgeber für sicheres Chatten anfordern

Evolution der nordkoreanischen macOS-Strategie

Die aktuellen Angriffe markieren eine deutliche Weiterentwicklung früherer Kampagnen wie "KandyKorn". Während frühere Versuche oft auf den Download bösartiger Krypto-Trading-Apps setzten, nutzen die Angriffe von 2026 hochentwickelte, KI-gestützte Täuschung. Die Nutzung generativer KI erlaubt es den Angreifern, die Entwicklung von Malware zu beschleunigen und ihre Social-Engineering-Skripte zu verfeinern.

Die Branche verzeichnet einen starken Anstieg bei Angriffen auf macOS-Nutzer. Die lange verbreitete Annahme, Apples Betriebssystem sei sicherer als Windows, bröckelt. Nordkoreanische Akteure fokussieren sich zunehmend auf die Web3- und DeFi-Branche, in der macOS unter Entwicklern und Führungskräften weit verbreitet ist. Die hohen finanziellen Anreize sind enorm: Die Lazarus-Gruppe wurde bereits mit dem Diebstahl von rund 1,4 Milliarden Euro von der ByBit-Börse in Verbindung gebracht.

Abwehrmaßnahmen und Zusammenarbeit der Tech-Giganten

Als Reaktion auf die Sapphire-Sleet-Kampagne haben Microsoft und Apple zusammengearbeitet. Microsoft meldete die schädliche Infrastruktur an Apple, das daraufhin Apple Safe Browsing-Schutzmaßnahmen in Safari aktivierte, um die betroffenen Domains zu blockieren. Zudem veröffentlichte Apple XProtect-Signaturen, um die spezifischen Malware-Familien zu erkennen und zu blockieren.

Diese Updates werden automatisch auf macOS-Geräten ausgespielt. Dennoch raten Experten Profis in Hochrisikosektoren zu äußerster Vorsicht im Umgang mit Recruitern in sozialen Medien und beim Download von Tools aus unaufgeforderten Meetings.

Die schnelle Anpassungsfähigkeit der nordkoreanischen Hacker zeigt: Social Engineering bleibt 2026 eine primäre Bedrohung. Indem sie das menschliche Element durch psychologische Manipulation und KI-Tricks zur Schwachstelle machen, umgehen diese Akteure weiterhin harte technische Sicherheitsperimeter. Die Empfehlung der Sicherheitsexperten ist klar: Unternehmen sollten Multi-Faktor-Authentifizierung und strenge Prüfprozesse für Drittanbieter-Software implementieren.

de | boerse | 69183316 |