Realst Infostealer est distribué via de faux jeux blockchain et cible également les systèmes d'exploitation macOS.
Début juillet, le chercheur en sécurité iamdeadlyz a signalé l'utilisation de plusieurs faux jeux blockchain pour infecter des cibles Windows et macOS avec des infostealers capables de vider les portefeuilles cryptographiques et de voler les mots de passe enregistrés et les données de navigation. Dans le cas de macOS, l'infostealer s'est avéré être un nouveau malware écrit en Rust appelé "realst". S'appuyant sur une analyse antérieure, SentinelLabs, la branche de recherche de SentinelOne, a identifié et analysé 59 échantillons malveillants Mach-O du nouveau malware. Il est devenu évident que certains échantillons ciblent déjà la prochaine version du système d'exploitation d'Apple, macOS 14 Sonoma.
propagation du malware
Realst Infostealer est distribué à l'aide de sites Web malveillants faisant la promotion de faux jeux blockchain portant des noms tels que Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles et SaintLegend. La campagne semble avoir des liens avec l'ancien voleur d'informations PearlLand. Chaque version du faux jeu blockchain est hébergée sur son propre site Web, avec les comptes Twitter et Discord associés. Comme le rapporte iamdeadlyz, des acteurs malveillants ont été observés ciblant des victimes potentielles via des messages directs sur les réseaux sociaux.
Analyse détaillée des variantes réelles
Sur le plan comportemental, les échantillons Realst semblent assez similaires dans toutes les variantes et peuvent être détectés de la même manière que les autres infostealers macOS. Bien qu’ils utilisent parfois différents appels d’API et présentent certaines dépendances, du point de vue de la télémétrie, la clé de tous ces voleurs d’informations est l’accès et l’exfiltration des données du navigateur, des portefeuilles cryptographiques et des bases de données de trousseaux. Les navigateurs ciblés incluent Firefox, Chrome, Opera, Brave et Vivaldi. Safari n’était une cible dans aucun des exemples analysés. En outre, il a été constaté que le malware cible également l’application Telegram.
L'analyse de SentinelLabs a identifié 16 variantes dans 59 échantillons, regroupés en quatre grandes familles : A, B, C et D. Il existe un certain nombre de chevauchements qui permettraient de tracer différemment les lignes de démarcation. Les chercheurs en sécurité ont opté pour la taxonomie suivante, basée sur des artefacts de chaîne conçus pour aider les chasseurs de menaces à mieux identifier et détecter :
Famille de variantes réelles A
Sur les 59 échantillons Mach-O analysés, 26 appartiennent à la variante A. Cette variante comporte un certain nombre de sous-variantes, mais elles partagent toutes un trait commun introuvable dans les variantes B, C et D : l'inclusion de chaînes entières liées à l'usurpation d'AppleScript. . Les variantes de la famille A utilisent l'usurpation d'AppleScript d'une manière similaire à celle observée lors des précédents vols de macOS.
Famille de variantes réelles B
Les variantes de la famille B présentent également des artefacts statiques liés à l'usurpation de mot de passe, mais ces exemples excellent dans la division des chaînes en unités plus petites pour contourner la simple détection statique. Il a été constaté que 10 des 59 échantillons entrent dans cette catégorie.
Famille de variantes réelles C
La famille C tente également de masquer les chaînes d'usurpation d'AppleScript en cassant les chaînes de la même manière que la variante B. Cependant, la variante C diffère en ce sens qu'elle introduit une référence au brise-chaîne dans le binaire Mach-O lui-même. 7 des 59 échantillons entraient dans cette catégorie.
Famille de variantes réelles D
Dans la famille D, qui représente 16 des échantillons, il n'y a aucun artefact statique pour l'usurpation d'osascript. Les mots de passe sont lus par une invite dans la fenêtre du terminal à l'aide de la fonction "get_keys_with_access". Une fois le mot de passe capturé, il est immédiatement transmis à sym.realst::utils::get_kc_keys, qui tente ensuite de récupérer les mots de passe du trousseau.
Des mesures de protection efficaces pour les entreprises
Toutes les variantes connues de Realst macOS Infostealer sont détectées par l'agent SentinelOne et ne peuvent pas s'exécuter si la stratégie de site Empêcher est activée. Le service de blocage des logiciels malveillants d'Apple « XProtect » ne semble pas empêcher ce logiciel malveillant de s'exécuter au moment de la rédaction de cet article. Les organisations non protégées par SentinelOne peuvent tirer parti de la liste complète d’indicateurs pour faciliter la chasse et la détection des menaces.
Situation actuelle des menaces
Le nombre d’échantillons réels et les variations indiquent que l’acteur malveillant a fait de sérieux efforts pour cibler les utilisateurs de macOS pour le vol de données et de crypto-monnaie. Plusieurs faux sites de jeux avec des serveurs Discord et des comptes Twitter associés ont été créés pour donner l'illusion de vrais produits et inciter les utilisateurs à les essayer. Une fois que la victime lance ces faux jeux et fournit un mot de passe à « l’installateur », ses données, mots de passe et portefeuilles cryptographiques sont volés. Compte tenu de l’intérêt actuel pour les jeux blockchain qui promettent aux utilisateurs de gagner de l’argent en jouant, les utilisateurs et les équipes de sécurité sont invités à faire preuve d’une extrême prudence lorsqu’ils sont invités à télécharger et à exécuter de tels jeux.
Plus sur SentinelOne.com
À propos de SentinelOne
SentinelOne fournit une protection autonome des terminaux via un agent unique qui empêche, détecte et répond avec succès aux attaques sur tous les principaux vecteurs. Conçue pour être extrêmement facile à utiliser, la plateforme Singularity fait gagner du temps aux clients en utilisant l'IA pour remédier automatiquement aux menaces en temps réel pour les environnements sur site et dans le cloud.
Articles liés au sujet