Hacker, Telegram

macOS-Malware: Hacker kapern Telegram und leeren Krypto-Wallets

Veröffentlicht: 17.07.2026 um 20:34 Uhr, Redaktion boerse-global.de

Sicherheitsforscher warnen vor macOS-Schadsoftware, die Telegram-Konten übernimmt und Kryptowährungen aus Wallets stiehlt.

Mac-Malware-Welle: Hacker kapern Telegram und leeren Krypto-Wallets
Nahaufnahme von Händen, die auf einer Laptop-Tastatur tippen, mit digitalen Kryptowährungs- und Telegram-Symbolen auf dem Bildschirm, die Cyberdiebstahl symbolisieren. Illustration mit AI erstellt übermittelt durch boerse-global.de

Hacker haben es zunehmend auf Apple-Nutzer abgesehen: Gleich mehrere Schadprogramme kapern Telegram-Accounts und leeren Krypto-Wallets.

Sicherheitsforscher schlagen Alarm. Die Firmen SlowMist und Group-IB haben eine Welle von macOS-spezifischer Schadsoftware identifiziert, die gezielt Telegram-Konten übernimmt und Kryptowährungen stiehlt. Die Angriffe nutzen raffinierte Methoden, um selbst aktivierte Zwei-Faktor-Authentifizierung zu umgehen.

Telegram-Session-Hijacking: Kein Passwort nötig

SlowMist veröffentlichte am heutigen Freitag einen Bericht über eine Schadsoftware, die Telegram Desktop-Konten kapern kann – ohne Telefonnummer oder Bestätigungscode. Das Programm kopiert das sogenannte „tdata"-Session-Verzeichnis der Anwendung. Angreifer können sich damit als das Opfer ausgeben, selbst wenn die Zwei-Faktor-Authentifizierung aktiviert ist.

Doch damit nicht genug: Die Malware plündert auch sensible Daten aus der Apple Keychain, Safari-Cookies und Klartext-Informationen aus Apple Notizen. Besonders brisant: Die Software zielt auf mindestens 16 Desktop-Krypto-Wallets ab, darunter Exodus, Electrum, Atomic Wallet sowie die Desktop-Versionen der Hardware-Wallets Ledger und Trezor.

Um an die digitalen Vermögenswerte zu gelangen, setzen die Hacker auf eine perfide Phishing-Methode. Sie ersetzen legitime Wallet-Anwendungen durch gefälschte Versionen. Diese täuschen Fenster vor, in denen Opfer ihre Wiederherstellungsphrasen eingeben sollen – die landen dann direkt bei den Angreifern.

Anzeige

Der beschriebene Klau von Session-Daten bei Telegram zeigt, wie wichtig ein bewusster Wechsel zu datenschutzfreundlichen Alternativen ist. Dieser kostenlose Ratgeber zeigt Ihnen Schritt für Schritt, wie Sie Telegram in nur fünf Minuten sicher einrichten und Ihre Privatsphäre effektiv schützen. Telegram Startpaket kostenlos anfordern

ClickFix: Der Trick mit dem Terminal-Befehl

Parallel dazu entdeckte Group-IB einen modularen Datendieb namens ClickLock. Er ist seit Mai 2026 aktiv und wird über sogenannte „ClickFix"-Seiten verbreitet – betrügerische Websites, die legitime Dienste wie Cloudflare nachahmen.

Der Angriff setzt auf Social Engineering statt technische Lücken. Opfer werden getäuscht, einen Terminal-Befehl unter dem Vorwand einer Sicherheitsüberprüfung zu kopieren und auszuführen. Einmal ausgeführt, installiert der Befehl eine Hintertür, die Daten aus acht verschiedenen Webbrowsern sowie Dutzenden Krypto-Wallet- und Passwort-Manager-Erweiterungen abgreift.

Laut Group-IB wurden mindestens 100 Opfer in 33 Ländern identifiziert. Mehr als die Hälfte der Infektionen entfällt auf Europa. Die Malware zielt zudem auf Blockchain-Adressen in sechs verschiedenen Netzwerken ab und überwacht Shell-Verläufe sowie FTP-Zugangsdaten.

OkoBot: Ein wachsendes Ökosystem

Die aktuellen Warnungen fallen mit der Entdeckung des OkoBot-Frameworks zusammen, das seit Januar 2026 mehrere Datendiebstahl-Programme ausliefert. Dieses Framework nutzt ein Modul namens SeedHunter, das speziell die Oberflächen von Ledger Live und Trezor Suite fälscht, um Seed-Phrasen abzugreifen. Während OkoBot vor allem in Brasilien, Kanada und der Türkei aktiv ist, zeigen die aktuellen macOS-Bedrohungen einen wachsenden Fokus auf Apples Ökosystem.

Die Entwicklung reiht sich in eine Serie von Sicherheitsvorfällen im Krypto-Sektor ein. Erst am 15. Juli 2026 erbeuteten Angreifer rund 24 Millionen Euro vom Ostium-Protokoll, nachdem ein autorisierter Unterzeichner manipulierte Oracle-Berichte eingereicht hatte. Zudem dokumentierten Forscher kürzlich, wie nordkoreanische Hackergruppen die Beute aus einem 293 Millionen Euro schweren Diebstahl bei Kelp DAO wuschen.

Anzeige

Angesichts der Millionen gehackten Konten jedes Jahr wird deutlich, dass herkömmliche Passwörter oft keinen ausreichenden Schutz mehr bieten. Erfahren Sie in diesem kostenlosen Report, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Amazon, WhatsApp und Co. unhackbar machen. Kostenlosen Passkey-Report jetzt herunterladen

Schutzmaßnahmen für macOS-Nutzer

Sicherheitsexperten raten zu erhöhter Vorsicht beim Herunterladen von Software oder Ausführen von Befehlen von unbekannten Websites. SlowMist empfiehlt, alle aktiven Sitzungen zu beenden, die Zwei-Faktor-Passwörter zu aktualisieren und bestehende Guthaben auf neue Wallets zu übertragen, die auf einem sauberen Gerät erstellt wurden.

Besonders wichtig: Wiederherstellungsphrasen sollten niemals in eine Software-Eingabeaufforderung eingegeben werden. Hersteller von Hardware-Wallets verlangen solche Phrasen ausschließlich auf dem physischen Gerät selbst.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69789768 |