Hacker infiltrieren Apple-Geräte mit hinterhältiger Software und jagen diejenigen, die nach kryptischen Codierungsschlüsseln suchen

Bybit hat Einzelheiten einer mehrstufigen macOS-Malware-Kampagne offengelegt, die sich an Benutzer richtet, die nach „Claude Code“ suchen, einem KI-gestützten Entwicklungstool von Anthropic. Dies geht aus Ergebnissen hervor, die von seinem Security Operations Center (SOC) veröffentlicht und am 21. April mit Finbold geteilt wurden. Das Unternehmen sagte, die Kampagne stelle einen der ersten öffentlich dokumentierten Fälle dar, in denen eine zentralisierte Krypto-Börse (CEX) eine aktive Bedrohung identifiziert und analysiert habe, die Erkennungskanäle von KI-Tools ausnutzt, um Entwickler anzusprechen. Laut Bybit wurde die Kampagne erstmals im März 2026 identifiziert und stützte sich auf Search Engine Optimization (SEO) Poisoning, um eine bösartige Domain an die Spitze der Google-Suchergebnisse zu bringen. Benutzer, die nach „Claude Code“ suchten, wurden auf eine gefälschte Installationsseite weitergeleitet, die einer legitimen Dokumentation sehr ähnlich war. Die Analyse von Bybit ergab, dass der Angriff eine zweistufige Malware-Kette einsetzte. Die anfängliche Nutzlast, die über einen Mach-O-Dropper geliefert wurde, installierte einen auf Osascript basierenden Infostealer, der ähnliche Eigenschaften wie bekannte AMOS- und Banshee-Varianten aufwies. Der Infostealer führte einen mehrstufigen Verschleierungsprozess durch, um sensible Daten zu extrahieren, darunter Browser-Anmeldeinformationen, macOS-Schlüsselbundeinträge, Telegram-Sitzungen, VPN-Profile und Kryptowährungs-Wallet-Informationen. Die Forscher von Bybit identifizierten gezielte Zugriffsversuche auf mehr als 250 browserbasierte Wallet-Erweiterungen sowie mehrere Desktop-Wallet-Anwendungen. Eine Nutzlast der zweiten Stufe führte eine C++-basierte Hintertür mit fortschrittlichen Umgehungstechniken wie Sandbox-Erkennung und verschlüsselter Laufzeitkonfiguration ein. Die Malware baute über Agenten auf Systemebene eine Persistenz auf und ermöglichte die Remote-Befehlsausführung über HTTP-basiertes Polling, sodass Angreifer die ständige Kontrolle über kompromittierte Geräte behalten konnten. Die Untersuchung deckte auch Social-Engineering-Taktiken auf, darunter gefälschte macOS-Passwortabfragen, die zur Validierung und Zwischenspeicherung von Benutzeranmeldeinformationen verwendet werden. In einigen Fällen versuchten Angreifer, legitime Wallet-Anwendungen wie Ledger Live und Trezor Suite durch trojanisierte Versionen zu ersetzen, die auf einer bösartigen Infrastruktur gehostet wurden. Laut Bybit nutzt sein SOC KI-gestützte Arbeitsabläufe über den gesamten Lebenszyklus der Malware-Analyse und verkürzt so die Reaktionszeiten erheblich, während gleichzeitig die Analysetiefe erhalten bleibt. Die erste Triage und Klassifizierung der Mach-O-Probe wurde innerhalb von Minuten abgeschlossen, wobei KI-Modelle Verhaltensähnlichkeiten mit bekannten Malware-Familien aufzeigten. Nach Angaben des Unternehmens konnte durch KI-gestütztes Reverse Engineering und Kontrollflussanalyse die Tiefeninspektion der Hintertür der zweiten Stufe von geschätzten sechs bis acht Stunden auf unter 40 Minuten reduziert werden. Automatisierte Extraktionspipelines identifizierten Indikatoren für eine Kompromittierung, einschließlich der Command-and-Control-Infrastruktur, Dateisignaturen und Verhaltensmuster, die etablierten Bedrohungsrahmen zugeordnet wurden. Diese Funktionen ermöglichten die Bereitstellung von Erkennungsmaßnahmen noch am selben Tag. Die KI-gestützte Regelgenerierung unterstützte die Erstellung von Bedrohungssignaturen und Endpunkterkennungsregeln, die von Analysten validiert wurden, bevor sie in Produktionsumgebungen übertragen wurden. Laut Bybit verkürzten KI-generierte Berichtsentwürfe die Bearbeitungszeit und ermöglichten eine etwa 70 % schnellere Fertigstellung der Ergebnisse von Bedrohungsinformationen als herkömmliche Arbeitsabläufe. „Als eine der ersten Krypto-Börsen, die diese Art von Malware-Kampagne öffentlich dokumentiert, glauben wir, dass die Weitergabe dieser Erkenntnisse von entscheidender Bedeutung für die Stärkung der kollektiven Verteidigung in der gesamten Branche ist“, sagte David Zong, Leiter Group Risk Control and Security bei Bybit. „Unser KI-gestütztes SOC ermöglicht es uns, innerhalb eines einzigen Betriebsfensters von der Erkennung zur vollständigen Sichtbarkeit der Kill-Chain zu gelangen. Was früher ein Team von Analysten erforderte, die über mehrere Schichten hinweg arbeiteten – Dekompilierung, IOC-Extraktion, Berichtserstellung, Regelerstellung –, wurde in einer einzigen Sitzung erledigt, wobei die KI die schwere Arbeit übernahm und unsere Analysten für die Beurteilung und Validierung sorgten. Mit Blick auf die Zukunft werden wir uns einem KI-Krieg gegenübersehen. Der Einsatz von KI zur Verteidigung gegen KI ist ein unvermeidlicher Trend. Bybit wird seine Investitionen in KI weiter erhöhen.“ Sicherheit, indem eine Bedrohungserkennung auf Minutenebene und eine automatisierte, intelligente Notfallreaktion erreicht werden.“ Die Malware zielte auf eine Vielzahl von Umgebungen ab, darunter Chromium-basierte Browser, Firefox-Varianten, Safari-Daten, Apple Notes und lokale Dateiverzeichnisse, die häufig zum Speichern vertraulicher Finanz- oder Authentifizierungsinformationen verwendet werden. Bybit sagte, es habe mehrere mit der Kampagne in Zusammenhang stehende Domänen und Command-and-Control-Endpunkte identifiziert, die inzwischen alle zur Offenlegung enttarnt wurden. Die Analyse ergab, dass sich die Angreifer eher auf intermittierende HTTP-Abfragen als auf dauerhafte Verbindungen verließen, was die Erkennung schwieriger machte. Laut Bybit wurde die mit der Kampagne verbundene bösartige Infrastruktur am 12. März identifiziert. Die vollständige Analyse, Schadensbegrenzung und internen Erkennungsmaßnahmen wurden noch am selben Tag abgeschlossen. Am 20. März folgte die öffentliche Offenlegung, begleitet von einer detaillierten Erkennungs- und Behebungsanleitung