Realst Infostealer Malware infiziert macOS-Ziele

Realst Infostealer Malware infiziert macOS-Ziele

Beitrag teilen

Der Realst Infostealer wird über gefälschte Blockchain-Spiele verbreitet und zielt auch auf macOS Betriebssysteme ab.

Anfang Juli berichtete der Sicherheitsforscher iamdeadlyz über mehrere gefälschte Blockchain-Spiele, die dazu verwendet werden, sowohl Windows- als auch macOS-Ziele mit Infostealern zu infizieren, die Krypto-Wallets leeren und gespeicherte Passwort- und Browserdaten stehlen können. Im Falle von macOS stellte sich heraus, dass es sich bei dem Infostealer um eine neue, in Rust geschriebene Malware mit dem Namen „realst“ handelt. Aufbauend auf einer früheren Analyse identifizierten und analysierte SentinelLabs, die Forschungsabteilung von SentinelOne, 59 bösartige Mach-O-Samples der neuen Malware. Dabei wurde ersichtlich, dass einige Samples bereits auf Apples kommende Betriebssystemversion macOS 14 Sonoma abzielen.

Anzeige

Verbreitung der Malware

Realst Infostealer wird über bösartige Websites verbreitet, die gefälschte Blockchain-Spiele mit Namen wie Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles und SaintLegend bewerben. Die Kampagne scheint Verbindungen zu dem früheren Infostealer PearlLand zu haben. Jede Version des gefälschten Blockchain-Spiels wird auf einer eigenen Website gehostet, einschließlich zugehöriger Twitter- und Discord-Konten. Wie iamdeadlyz berichtet, wurden Bedrohungsakteure dabei beobachtet, wie sie potenzielle Opfer über Direktnachrichten in den sozialen Medien ansprachen.

Detaillierte Analyse der Realst-Varianten

Vom Verhalten her sehen die Realst-Samples bei allen Varianten ziemlich ähnlich aus und lassen sich auf ähnliche Weise wie andere macOS-Infostealer erkennen. Obwohl sie manchmal unterschiedliche API-Aufrufe verwenden und einige Variantenabhängigkeiten aufweisen, ist aus Sicht der Telemetrie der Schlüssel zu all diesen Infostealern der Zugriff und die Exfiltration von Browserdaten, Krypto-Wallets und Schlüsselbunddatenbanken. Zu den angegriffenen Browsern gehören Firefox, Chrome, Opera, Brave und Vivaldi. Safari war in keinem der analysierten Beispiele ein Ziel. Außerdem konnte festgestellt werden, dass die Malware auch auf die Telegram-Anwendung abzielt.

Bei der Analyse von SentinelLabs wurden 16 Varianten in 59 Proben identifiziert, die in vier Hauptfamilien eingeteilt wurden: A, B, C und D. Es gibt eine Reihe von Überschneidungen, die es erlauben würden, die Trennlinien auch anders zu ziehen. Die Sicherheitsforscher haben sich für die folgende Taxonomie entschieden, die auf String-Artefakten basiert, die Bedrohungsjägern bei der besseren Identifizierung und Erkennung helfen sollen:

Realst-Variantenfamilie A

Von den 59 Mach-O-Samples, die analysiert wurden, fallen 26 in die Variante A. Diese Variante hat eine Reihe von Untervarianten, aber sie alle haben ein gemeinsames Merkmal, das in den Varianten B, C und D nicht zu finden ist: Die Einbeziehung ganzer Zeichenketten, die mit AppleScript-Spoofing zusammenhängen. Die Varianten der Familie A verwenden AppleScript-Spoofing auf ähnliche Weise, wie es bei früheren macOS-Diebstählen beobachtet wurde.

Realst-Variante Familie B

Die Varianten der Familie B weisen ebenfalls statische Artefakte auf, die mit Passwort-Spoofing zusammenhängen, aber diese Samples zeichnen sich dadurch aus, dass sie die Zeichenketten in kleinere Einheiten aufteilen, um eine einfache statische Erkennung zu umgehen. Es wurde festgestellt, dass 10 der 59 Proben in diese Kategorie fallen.

Realst-Variante Familie C

Familie C versucht ebenfalls, die Zeichenketten für das AppleScript-Spoofing zu verstecken, indem sie die Zeichenketten auf die gleiche Weise aufbricht wie Variante B. Variante C unterscheidet sich jedoch dadurch, dass sie einen Verweis auf chainbreaker in die Mach-O-Binärdatei selbst einführt. 7 der 59 Proben fielen in diese Kategorie.

Realst-Variante Familie D

In Familie D, auf die 16 der Proben entfallen, gibt es keine statischen Artefakte für osascript-Spoofing. Das Auslesen von Passwörtern erfolgt durch eine Eingabeaufforderung im Terminalfenster über die Funktion „get_keys_with_access“. Sobald das Passwort erfasst ist, wird es sofort an „sym.realst::utils::get_kc_keys“ übergeben, das dann versucht, Passwörter aus dem Schlüsselbund auszulesen.

Effektive Schutzmaßnahmen für Unternehmen

Alle bekannten Varianten von Realst macOS Infostealer werden vom SentinelOne-Agenten erkannt und, sofern die Site-Policy „Prevent“ aktiviert ist, an der Ausführung gehindert. Apples Malware-Blockierungsdienst „XProtect“ scheint die Ausführung dieser Malware zum Zeitpunkt der Erstellung dieses Artikels nicht zu verhindern. Unternehmen, die nicht durch SentinelOne geschützt sind, können die umfassende Liste an Indikatoren zur Unterstützung der Bedrohungssuche und -erkennung nutzen.

Aktuelle Bedrohungslage

Die Anzahl der Realst-Samples und die Variationen zeigen, dass der Bedrohungsakteur ernsthafte Anstrengungen unternommen hat, um macOS-Nutzer für den Diebstahl von Daten und Kryptowährungen ins Visier zu nehmen. Es wurden mehrere gefälschte Spieleseiten mit Discord-Servern und zugehörigen Twitter-Konten erstellt, um die Illusion echter Produkte vorzutäuschen und Nutzer zum Ausprobieren zu bewegen. Sobald das Opfer diese gefälschten Spiele startet und dem „Installationsprogramm“ ein Passwort mitteilt, werden seine Daten, Passwörter und Krypto-Wallets gestohlen. Angesichts des aktuellen Interesses an Blockchain-Spielen, die den Nutzern versprechen, beim Spielen Geld zu verdienen, werden Nutzer und Sicherheitsteams dringend gebeten, Aufforderungen zum Herunterladen und Ausführen solcher Spiele mit äußerster Vorsicht zu genießen.

Mehr bei SentinelOne.com

 


Über SentinelOne

SentinelOne bietet autonomen Endpunktschutz durch einen einzigen Agenten, der Angriffe über alle wichtigen Vektoren hinweg erfolgreich verhindert, erkennt und darauf reagiert. Die Singularity-Plattform wurde für eine extrem einfache Bedienung entwickelt und spart Kunden Zeit, indem sie KI zur automatischen Beseitigung von Bedrohungen in Echtzeit sowohl für standortbasierte als auch für Cloud-Umgebungen einsetzt.


Passende Artikel zum Thema

Umfrage: Plattform für Netzwerk, KI und Sicherheit gewünscht

Eine Umfrage unter 200 CIOs und IT-Experten zeigt, dass die Mehrheit der Befragten eine zentrale, integrierte Plattform für Netzwerke, KI ➡ Weiterlesen

CPS: Neue Malware IOCONTROL zielt auf KRITIS

Experten des Team82 haben eine gegen kritische Infrastruktur gerichtete Malware identifiziert. Die Cyberwaffe IOCONTROL stammt laut den Experten wahrscheinlich von ➡ Weiterlesen

Fünf lokale Schwachstellen in needrestart entdeckt

Ein Anbieter von Cloud-basierten IT-, Sicherheits- und Compliance-Lösungen, gab bekannt, dass die Qualys Threat Research Unit (TRU) fünf Local Privilege ➡ Weiterlesen

RAG: Innovative KI-Technologien bringen Gefahren mit sich

Seit der Einführung von ChatGPT 2022 wollen immer mehr Unternehmen KI-Technologien nutzen – oft mit spezifischen Anforderungen. Retrieval Augmented Generation ➡ Weiterlesen

Test: Schutz vor Malware unter MacOS Sonoma 14.6

Hunderte Exemplare besonders gefährlicher MacOS-Malware attackieren im Labortest Schutzprodukte für Unternehmen unter Sonoma 14.6. Der Q3/2024-Test zeigt starke Lösungen für ➡ Weiterlesen

2025: Wer will IT-Security-Verantwortlicher sein?

Wie jedes Jahr haben die IT-Security-Spezialisten von WatchGuard Technologies auch Ende 2024 einen Blick in die Zukunft gewagt und ihre ➡ Weiterlesen

Wenn Hacker die Security-Software übernehmen

Sicherheitssoftware sollte eigentlich eine unüberwindbare Mauer gegen Malware und Angriffe darstellt, aber was passiert, wenn genau diese Mauer als Waffe ➡ Weiterlesen

Active-Directory-Sicherung und -Wiederherstellung

Ransomware-Bedrohungen oder auch aktive Angriffe sind für Unternehmen längst Bestandteil ihres Alltags. Viele Attacken auf Identity-Systeme und allen voran Active ➡ Weiterlesen