Realst Infostealer se distribuye a través de juegos blockchain falsos y también apunta a sistemas operativos macOS.
A principios de julio, el investigador de seguridad iamdeadlyz informó sobre el uso de varios juegos blockchain falsos para infectar objetivos Windows y macOS con ladrones de información capaces de vaciar billeteras criptográficas y robar contraseñas guardadas y datos de navegación. En el caso de macOS, el ladrón de información resultó ser un nuevo malware escrito en Rust llamado "realst". Sobre la base de un análisis anterior, SentinelLabs, el brazo de investigación de SentinelOne, identificó y analizó 59 muestras maliciosas Mach-O del nuevo malware. Se hizo evidente que algunas muestras ya están dirigidas a la próxima versión del sistema operativo de Apple, macOS 14 Sonoma.
propagación del malware
Realst Infostealer se distribuye mediante sitios web maliciosos que promocionan juegos blockchain falsos con nombres como Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles y SaintLegend. La campaña parece tener vínculos con el ex ladrón de información PearlLand. Cada versión del falso juego blockchain está alojada en su propio sitio web, con cuentas asociadas de Twitter y Discord. Como informó iamdeadlyz, se ha observado que los actores de amenazas se dirigen a víctimas potenciales a través de mensajes directos en las redes sociales.
Análisis detallado de variantes reales.
En cuanto al comportamiento, las muestras de Realst se ven bastante similares en todas las variantes y se pueden detectar de manera similar a otros ladrones de información de macOS. Aunque a veces utilizan diferentes llamadas API y tienen algunas dependencias variantes, desde una perspectiva de telemetría, la clave para todos estos ladrones de información es el acceso y la filtración de datos del navegador, carteras criptográficas y bases de datos de llaveros. Los navegadores a los que se dirigen incluyen Firefox, Chrome, Opera, Brave y Vivaldi. Safari no fue un objetivo en ninguno de los ejemplos analizados. Además, se descubrió que el malware también apunta a la aplicación Telegram.
El análisis de SentinelLabs identificó 16 variantes en 59 muestras, que se agruparon en cuatro familias principales: A, B, C y D. Hay una serie de superposiciones que permitirían trazar las líneas divisorias de manera diferente. Los investigadores de seguridad se han decidido por la siguiente taxonomía basada en artefactos de cadena diseñados para ayudar a los cazadores de amenazas a identificar y detectar mejor:
Familia de variantes reales A
De las 59 muestras de Mach-O analizadas, 26 pertenecen a la variante A. Esta variante tiene varias subvariantes, pero todas comparten un rasgo común que no se encuentra en las variantes B, C y D: la inclusión de cadenas completas relacionadas con la suplantación de AppleScript. . Las variantes de la Familia A utilizan la suplantación de AppleScript de una manera similar a la observada en robos anteriores de macOS.
Familia de variantes reales B
Las variantes de la familia B también exhiben artefactos estáticos relacionados con la suplantación de contraseñas, pero estas muestras destacan por dividir las cadenas en unidades más pequeñas para evitar la detección estática simple. Se encontró que 10 de las 59 muestras entran en esta categoría.
Familia de variantes reales C
La familia C también intenta ocultar las cadenas de suplantación de AppleScript rompiéndolas de la misma manera que la variante B. Sin embargo, la variante C se diferencia en que introduce una referencia a chainbreaker en el propio binario Mach-O. 7 de las 59 muestras entraron en esta categoría.
Familia de variantes reales D
En la familia D, que representa 16 de las muestras, no hay artefactos estáticos para la suplantación de osascript. Las contraseñas se leen mediante un mensaje en la ventana del terminal utilizando la función "get_keys_with_access". Una vez capturada la contraseña, se pasa inmediatamente a sym.realst::utils::get_kc_keys, que luego intenta recuperar las contraseñas del llavero.
Medidas de protección efectivas para las empresas
El agente SentinelOne detecta todas las variantes conocidas de Realst macOS Infostealer y evita su ejecución si la política Evitar sitio está habilitada. El servicio de bloqueo de malware de Apple, "XProtect", no parece impedir que este malware se ejecute en el momento de escribir este artículo. Las organizaciones que no están protegidas por SentinelOne pueden aprovechar la lista completa de indicadores para ayudar en la búsqueda y detección de amenazas.
Situación de amenaza actual
Los recuentos y variaciones de muestras reales indican que el actor de amenazas hizo serios esfuerzos para atacar a los usuarios de macOS para robar datos y criptomonedas. Se han creado varios sitios de juegos falsos con servidores de Discord y cuentas de Twitter asociadas para dar la ilusión de productos reales y atraer a los usuarios a probarlos. Una vez que la víctima inicia estos juegos falsos y proporciona una contraseña al "instalador", se roban sus datos, contraseñas y billeteras criptográficas. Dado el interés actual en los juegos blockchain que prometen a los usuarios ganar dinero mientras juegan, se insta a los usuarios y a los equipos de seguridad a tener extrema precaución cuando se les solicite descargar y ejecutar dichos juegos.
Más en SentinelOne.com
Acerca de SentinelOne
SentinelOne brinda protección autónoma para endpoints a través de un único agente que previene, detecta y responde con éxito a los ataques en todos los vectores principales. Diseñada para ser extremadamente fácil de usar, la plataforma Singularity ahorra tiempo a los clientes mediante el uso de IA para remediar automáticamente las amenazas en tiempo real tanto para entornos locales como en la nube.
Artículos relacionados con el tema