Realst Infostealer Malware infiziert macOS-Ziele

Realst Infostealer Malware infiziert macOS-Ziele

Beitrag teilen

Der Realst Infostealer wird über gefälschte Blockchain-Spiele verbreitet und zielt auch auf macOS Betriebssysteme ab.

Anfang Juli berichtete der Sicherheitsforscher iamdeadlyz über mehrere gefälschte Blockchain-Spiele, die dazu verwendet werden, sowohl Windows- als auch macOS-Ziele mit Infostealern zu infizieren, die Krypto-Wallets leeren und gespeicherte Passwort- und Browserdaten stehlen können. Im Falle von macOS stellte sich heraus, dass es sich bei dem Infostealer um eine neue, in Rust geschriebene Malware mit dem Namen „realst” handelt. Aufbauend auf einer früheren Analyse identifizierten und analysierte SentinelLabs, die Forschungsabteilung von SentinelOne, 59 bösartige Mach-O-Samples der neuen Malware. Dabei wurde ersichtlich, dass einige Samples bereits auf Apples kommende Betriebssystemversion macOS 14 Sonoma abzielen.

Verbreitung der Malware

Realst Infostealer wird über bösartige Websites verbreitet, die gefälschte Blockchain-Spiele mit Namen wie Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles und SaintLegend bewerben. Die Kampagne scheint Verbindungen zu dem früheren Infostealer PearlLand zu haben. Jede Version des gefälschten Blockchain-Spiels wird auf einer eigenen Website gehostet, einschließlich zugehöriger Twitter- und Discord-Konten. Wie iamdeadlyz berichtet, wurden Bedrohungsakteure dabei beobachtet, wie sie potenzielle Opfer über Direktnachrichten in den sozialen Medien ansprachen.

Detaillierte Analyse der Realst-Varianten

Vom Verhalten her sehen die Realst-Samples bei allen Varianten ziemlich ähnlich aus und lassen sich auf ähnliche Weise wie andere macOS-Infostealer erkennen. Obwohl sie manchmal unterschiedliche API-Aufrufe verwenden und einige Variantenabhängigkeiten aufweisen, ist aus Sicht der Telemetrie der Schlüssel zu all diesen Infostealern der Zugriff und die Exfiltration von Browserdaten, Krypto-Wallets und Schlüsselbunddatenbanken. Zu den angegriffenen Browsern gehören Firefox, Chrome, Opera, Brave und Vivaldi. Safari war in keinem der analysierten Beispiele ein Ziel. Außerdem konnte festgestellt werden, dass die Malware auch auf die Telegram-Anwendung abzielt.

Bei der Analyse von SentinelLabs wurden 16 Varianten in 59 Proben identifiziert, die in vier Hauptfamilien eingeteilt wurden: A, B, C und D. Es gibt eine Reihe von Überschneidungen, die es erlauben würden, die Trennlinien auch anders zu ziehen. Die Sicherheitsforscher haben sich für die folgende Taxonomie entschieden, die auf String-Artefakten basiert, die Bedrohungsjägern bei der besseren Identifizierung und Erkennung helfen sollen:

Realst-Variantenfamilie A

Von den 59 Mach-O-Samples, die analysiert wurden, fallen 26 in die Variante A. Diese Variante hat eine Reihe von Untervarianten, aber sie alle haben ein gemeinsames Merkmal, das in den Varianten B, C und D nicht zu finden ist: Die Einbeziehung ganzer Zeichenketten, die mit AppleScript-Spoofing zusammenhängen. Die Varianten der Familie A verwenden AppleScript-Spoofing auf ähnliche Weise, wie es bei früheren macOS-Diebstählen beobachtet wurde.

Realst-Variante Familie B

Die Varianten der Familie B weisen ebenfalls statische Artefakte auf, die mit Passwort-Spoofing zusammenhängen, aber diese Samples zeichnen sich dadurch aus, dass sie die Zeichenketten in kleinere Einheiten aufteilen, um eine einfache statische Erkennung zu umgehen. Es wurde festgestellt, dass 10 der 59 Proben in diese Kategorie fallen.

Realst-Variante Familie C

Familie C versucht ebenfalls, die Zeichenketten für das AppleScript-Spoofing zu verstecken, indem sie die Zeichenketten auf die gleiche Weise aufbricht wie Variante B. Variante C unterscheidet sich jedoch dadurch, dass sie einen Verweis auf chainbreaker in die Mach-O-Binärdatei selbst einführt. 7 der 59 Proben fielen in diese Kategorie.

Realst-Variante Familie D

In Familie D, auf die 16 der Proben entfallen, gibt es keine statischen Artefakte für osascript-Spoofing. Das Auslesen von Passwörtern erfolgt durch eine Eingabeaufforderung im Terminalfenster über die Funktion „get_keys_with_access“. Sobald das Passwort erfasst ist, wird es sofort an „sym.realst::utils::get_kc_keys“ übergeben, das dann versucht, Passwörter aus dem Schlüsselbund auszulesen.

Effektive Schutzmaßnahmen für Unternehmen

Alle bekannten Varianten von Realst macOS Infostealer werden vom SentinelOne-Agenten erkannt und, sofern die Site-Policy „Prevent” aktiviert ist, an der Ausführung gehindert. Apples Malware-Blockierungsdienst „XProtect” scheint die Ausführung dieser Malware zum Zeitpunkt der Erstellung dieses Artikels nicht zu verhindern. Unternehmen, die nicht durch SentinelOne geschützt sind, können die umfassende Liste an Indikatoren zur Unterstützung der Bedrohungssuche und -erkennung nutzen.

Aktuelle Bedrohungslage

Die Anzahl der Realst-Samples und die Variationen zeigen, dass der Bedrohungsakteur ernsthafte Anstrengungen unternommen hat, um macOS-Nutzer für den Diebstahl von Daten und Kryptowährungen ins Visier zu nehmen. Es wurden mehrere gefälschte Spieleseiten mit Discord-Servern und zugehörigen Twitter-Konten erstellt, um die Illusion echter Produkte vorzutäuschen und Nutzer zum Ausprobieren zu bewegen. Sobald das Opfer diese gefälschten Spiele startet und dem „Installationsprogramm” ein Passwort mitteilt, werden seine Daten, Passwörter und Krypto-Wallets gestohlen. Angesichts des aktuellen Interesses an Blockchain-Spielen, die den Nutzern versprechen, beim Spielen Geld zu verdienen, werden Nutzer und Sicherheitsteams dringend gebeten, Aufforderungen zum Herunterladen und Ausführen solcher Spiele mit äußerster Vorsicht zu genießen.

Mehr bei SentinelOne.com

 


Über SentinelOne

SentinelOne bietet autonomen Endpunktschutz durch einen einzigen Agenten, der Angriffe über alle wichtigen Vektoren hinweg erfolgreich verhindert, erkennt und darauf reagiert. Die Singularity-Plattform wurde für eine extrem einfache Bedienung entwickelt und spart Kunden Zeit, indem sie KI zur automatischen Beseitigung von Bedrohungen in Echtzeit sowohl für standortbasierte als auch für Cloud-Umgebungen einsetzt.


Passende Artikel zum Thema

Cloud-Anbieter: Kunden mit Frostbite-Malware attackiert

Wie Experten berichten, werden aktuell viele Kunden des Cloud-Anbieters Snowflake ins Visier genommen. Dazu nutzen die Angreifer die Malware FROSTBITE ➡ Weiterlesen

Gesundheitsbranche verliert sensible Daten durch Ransomware-Angriffe

Gesundheitsorganisationen verlieren bei jedem Ransomware-Angriff 20 Prozent ihrer sensiblen Daten. Organisationen im Gesundheitswesen erlebten im Jahr 2023 50 Prozent mehr ➡ Weiterlesen

Schutzlösungen für MacOS Sonoma im Test

Der große Test von Schutz-Software für Unternehmen und Einzelplatz-PCs für MacOS fand im AV-TEST-Labor erstmals unter der MacOS Version Sonoma ➡ Weiterlesen

NIS2-Direktive: 6 Tipps zur Umsetzung in Unternehmen

Die EU-NIS2-Direktive verpflichtet bald viele Unternehmen dazu, höhere Cybersicherheitsstandards zu erfüllen - im Oktober 2024 soll das Gesetz schon fertig ➡ Weiterlesen

Cybersecurity: Mangelnde Abstimmung zwischen CEOs und CISOs

87 Prozent der befragten CISOs gaben im Dynatrace CISO-Report 2024 an, dass CEOs für Anwendersicherheit blind seien. 70 Prozent der ➡ Weiterlesen

Cyberversicherungen: Was hilft gegen steigende Kosten?

Cyberversicherungen sichern Unternehmen finanziell bei Cyberangriffen ab. Mit der Zunahme der Bedrohungslage erhöhen die Versicherungen die Kosten für Jahresprämien. Unternehmen, ➡ Weiterlesen

IT-Sicherheit: Mangelnde Kenntnisse in deutschen Unternehmen

Rund 25 Prozent aller Geschäftsleitungen wissen zu wenig über IT-Sicherheit und 42 Prozent der Arbeitnehmenden informieren sich nicht regelmäßig über ➡ Weiterlesen

Unternehmen entdecken Cyberangreifer schneller

Cyberangreifer nutzen bevorzugt Zero-Day-Schwachstellen aus, so der M-Trends Report 2024. Die durchschnittliche Verweildauer bis zu ihrer Entdeckung ist aber deutlich ➡ Weiterlesen