Realst Infostealer è distribuito tramite falsi giochi blockchain e prende di mira anche i sistemi operativi macOS.
All'inizio di luglio, il ricercatore di sicurezza iamdeadlyz ha riferito di diversi giochi blockchain falsi utilizzati per infettare target sia Windows che macOS con infostealer in grado di svuotare portafogli crittografici e rubare password salvate e dati del browser. Nel caso di macOS, l’infostealer si è rivelato essere un nuovo malware scritto in Rust chiamato “realst”. Basandosi su un'analisi precedente, SentinelLabs, la divisione di ricerca di SentinelOne, ha identificato e analizzato 59 campioni Mach-O dannosi del nuovo malware. È apparso evidente che alcuni campioni stanno già prendendo di mira la prossima versione del sistema operativo Apple macOS 14 Sonoma.
diffusione del malware
Realst Infostealer viene distribuito utilizzando siti Web dannosi che promuovono giochi blockchain falsi con nomi come Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles e SaintLegend. La campagna sembra avere legami con l'ex infostealer PearlLand. Ogni versione del falso gioco blockchain è ospitata sul proprio sito Web, completo di account Twitter e Discord associati. Come riportato da iamdeadlyz, è stato osservato che gli autori delle minacce prendono di mira potenziali vittime tramite messaggi diretti sui social media.
Analisi dettagliata delle varianti reali
Dal punto di vista comportamentale, i campioni Realst sembrano abbastanza simili in tutte le varianti e possono essere rilevati in modo simile ad altri infostealer macOS. Sebbene a volte utilizzino chiamate API diverse e abbiano alcune dipendenze varianti, dal punto di vista della telemetria, la chiave di tutti questi infostealer è l'accesso e l'esfiltrazione dei dati del browser, dei portafogli crittografici e dei database dei portachiavi. I browser presi di mira includono Firefox, Chrome, Opera, Brave e Vivaldi. Safari non era un obiettivo in nessuno degli esempi analizzati. Inoltre si è constatato che il malware prende di mira anche l'applicazione Telegram.
L'analisi di SentinelLabs ha identificato 16 varianti in 59 campioni, che sono stati raggruppati in quattro famiglie principali: A, B, C e D. Esistono numerose sovrapposizioni che consentirebbero di tracciare diversamente le linee di divisione. I ricercatori di sicurezza hanno optato per la seguente tassonomia basata su artefatti di stringa progettati per aiutare i cacciatori di minacce a identificare e rilevare meglio:
Famiglia variante reale A
Dei 59 campioni Mach-O analizzati, 26 rientrano nella variante A. Questa variante ha un numero di sottovarianti, ma tutte condividono un tratto comune non trovato nelle varianti B, C e D: l'inclusione di intere stringhe correlate allo spoofing di AppleScript . Le varianti della Famiglia A utilizzano lo spoofing di AppleScript in modo simile a quello osservato nei precedenti furti su macOS.
Famiglia variante reale B
Le varianti della famiglia B presentano anche artefatti statici legati allo spoofing delle password, ma questi esempi eccellono nel suddividere le stringhe in unità più piccole per aggirare il semplice rilevamento statico. È stato riscontrato che 10 dei 59 campioni rientrano in questa categoria.
Famiglia variante reale C
La famiglia C tenta anche di nascondere le stringhe di spoofing di AppleScript rompendo le stringhe allo stesso modo della variante B. Tuttavia, la variante C differisce in quanto introduce un riferimento a chainbreaker nel binario Mach-O stesso. 7 dei 59 campioni rientravano in questa categoria.
Famiglia variante reale D
Nella famiglia D, che comprende 16 campioni, non sono presenti artefatti statici per lo spoofing di osascript. Le password vengono lette tramite una richiesta nella finestra del terminale utilizzando la funzione "get_keys_with_access". Una volta catturata la password, viene immediatamente passata a sym.realst::utils::get_kc_keys, che tenta quindi di recuperare le password dal portachiavi.
Misure di tutela efficaci per le aziende
Tutte le varianti conosciute di Realst macOS Infostealer vengono rilevate dall'agente SentinelOne e ne viene impedita l'esecuzione se è abilitata la policy Previeni sito. Il servizio di blocco malware di Apple "XProtect" non sembra impedire l'esecuzione di questo malware al momento della scrittura. Le organizzazioni non protette da SentinelOne possono sfruttare l'elenco completo di indicatori per facilitare la ricerca e il rilevamento delle minacce.
Situazione attuale delle minacce
I conteggi e le variazioni dei campioni reali indicano che l'autore della minaccia ha compiuto seri sforzi per prendere di mira gli utenti macOS per il furto di dati e criptovaluta. Sono stati creati diversi siti di giochi falsi con server Discord e account Twitter associati per dare l'illusione di prodotti reali e invogliare gli utenti a provarli. Una volta che la vittima avvia questi giochi falsi e fornisce una password al "programma di installazione", i suoi dati, password e portafogli crittografici vengono rubati. Dato l’attuale interesse per i giochi blockchain che promettono agli utenti di guadagnare denaro giocando, gli utenti e i team di sicurezza sono invitati a prestare estrema cautela quando viene richiesto di scaricare ed eseguire tali giochi.
Altro su SentinelOne.com
Informazioni su SentinelOne
SentinelOne fornisce protezione autonoma degli endpoint attraverso un singolo agente che previene, rileva e risponde con successo agli attacchi su tutti i principali vettori. Progettata per essere estremamente facile da usare, la piattaforma Singularity fa risparmiare tempo ai clienti utilizzando l'intelligenza artificiale per rimediare automaticamente alle minacce in tempo reale sia per gli ambienti on-premise che per quelli cloud.
Articoli relativi all'argomento