Realst Infostealer Malware infiziert macOS-Ziele

6. September 2023
| Keine Kommentare
Realst Infostealer Malware infiziert macOS-Ziele
Anzeige

Beitrag teilen

Der Realst Infostealer wird über gefälschte Blockchain-Spiele verbreitet und zielt auch auf macOS Betriebssysteme ab.

Anfang Juli berichtete der Sicherheitsforscher iamdeadlyz über mehrere gefälschte Blockchain-Spiele, die dazu verwendet werden, sowohl Windows- als auch macOS-Ziele mit Infostealern zu infizieren, die Krypto-Wallets leeren und gespeicherte Passwort- und Browserdaten stehlen können. Im Falle von macOS stellte sich heraus, dass es sich bei dem Infostealer um eine neue, in Rust geschriebene Malware mit dem Namen „realst” handelt. Aufbauend auf einer früheren Analyse identifizierten und analysierte SentinelLabs, die Forschungsabteilung von SentinelOne, 59 bösartige Mach-O-Samples der neuen Malware. Dabei wurde ersichtlich, dass einige Samples bereits auf Apples kommende Betriebssystemversion macOS 14 Sonoma abzielen.

Anzeige

Verbreitung der Malware

Realst Infostealer wird über bösartige Websites verbreitet, die gefälschte Blockchain-Spiele mit Namen wie Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles und SaintLegend bewerben. Die Kampagne scheint Verbindungen zu dem früheren Infostealer PearlLand zu haben. Jede Version des gefälschten Blockchain-Spiels wird auf einer eigenen Website gehostet, einschließlich zugehöriger Twitter- und Discord-Konten. Wie iamdeadlyz berichtet, wurden Bedrohungsakteure dabei beobachtet, wie sie potenzielle Opfer über Direktnachrichten in den sozialen Medien ansprachen.

Detaillierte Analyse der Realst-Varianten

Vom Verhalten her sehen die Realst-Samples bei allen Varianten ziemlich ähnlich aus und lassen sich auf ähnliche Weise wie andere macOS-Infostealer erkennen. Obwohl sie manchmal unterschiedliche API-Aufrufe verwenden und einige Variantenabhängigkeiten aufweisen, ist aus Sicht der Telemetrie der Schlüssel zu all diesen Infostealern der Zugriff und die Exfiltration von Browserdaten, Krypto-Wallets und Schlüsselbunddatenbanken. Zu den angegriffenen Browsern gehören Firefox, Chrome, Opera, Brave und Vivaldi. Safari war in keinem der analysierten Beispiele ein Ziel. Außerdem konnte festgestellt werden, dass die Malware auch auf die Telegram-Anwendung abzielt.

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

Bei der Analyse von SentinelLabs wurden 16 Varianten in 59 Proben identifiziert, die in vier Hauptfamilien eingeteilt wurden: A, B, C und D. Es gibt eine Reihe von Überschneidungen, die es erlauben würden, die Trennlinien auch anders zu ziehen. Die Sicherheitsforscher haben sich für die folgende Taxonomie entschieden, die auf String-Artefakten basiert, die Bedrohungsjägern bei der besseren Identifizierung und Erkennung helfen sollen:

Realst-Variantenfamilie A

Von den 59 Mach-O-Samples, die analysiert wurden, fallen 26 in die Variante A. Diese Variante hat eine Reihe von Untervarianten, aber sie alle haben ein gemeinsames Merkmal, das in den Varianten B, C und D nicht zu finden ist: Die Einbeziehung ganzer Zeichenketten, die mit AppleScript-Spoofing zusammenhängen. Die Varianten der Familie A verwenden AppleScript-Spoofing auf ähnliche Weise, wie es bei früheren macOS-Diebstählen beobachtet wurde.

Realst-Variante Familie B

Die Varianten der Familie B weisen ebenfalls statische Artefakte auf, die mit Passwort-Spoofing zusammenhängen, aber diese Samples zeichnen sich dadurch aus, dass sie die Zeichenketten in kleinere Einheiten aufteilen, um eine einfache statische Erkennung zu umgehen. Es wurde festgestellt, dass 10 der 59 Proben in diese Kategorie fallen.

Realst-Variante Familie C

Familie C versucht ebenfalls, die Zeichenketten für das AppleScript-Spoofing zu verstecken, indem sie die Zeichenketten auf die gleiche Weise aufbricht wie Variante B. Variante C unterscheidet sich jedoch dadurch, dass sie einen Verweis auf chainbreaker in die Mach-O-Binärdatei selbst einführt. 7 der 59 Proben fielen in diese Kategorie.

Realst-Variante Familie D

In Familie D, auf die 16 der Proben entfallen, gibt es keine statischen Artefakte für osascript-Spoofing. Das Auslesen von Passwörtern erfolgt durch eine Eingabeaufforderung im Terminalfenster über die Funktion „get_keys_with_access“. Sobald das Passwort erfasst ist, wird es sofort an „sym.realst::utils::get_kc_keys“ übergeben, das dann versucht, Passwörter aus dem Schlüsselbund auszulesen.

Effektive Schutzmaßnahmen für Unternehmen

Alle bekannten Varianten von Realst macOS Infostealer werden vom SentinelOne-Agenten erkannt und, sofern die Site-Policy „Prevent” aktiviert ist, an der Ausführung gehindert. Apples Malware-Blockierungsdienst „XProtect” scheint die Ausführung dieser Malware zum Zeitpunkt der Erstellung dieses Artikels nicht zu verhindern. Unternehmen, die nicht durch SentinelOne geschützt sind, können die umfassende Liste an Indikatoren zur Unterstützung der Bedrohungssuche und -erkennung nutzen.

Aktuelle Bedrohungslage

Die Anzahl der Realst-Samples und die Variationen zeigen, dass der Bedrohungsakteur ernsthafte Anstrengungen unternommen hat, um macOS-Nutzer für den Diebstahl von Daten und Kryptowährungen ins Visier zu nehmen. Es wurden mehrere gefälschte Spieleseiten mit Discord-Servern und zugehörigen Twitter-Konten erstellt, um die Illusion echter Produkte vorzutäuschen und Nutzer zum Ausprobieren zu bewegen. Sobald das Opfer diese gefälschten Spiele startet und dem „Installationsprogramm” ein Passwort mitteilt, werden seine Daten, Passwörter und Krypto-Wallets gestohlen. Angesichts des aktuellen Interesses an Blockchain-Spielen, die den Nutzern versprechen, beim Spielen Geld zu verdienen, werden Nutzer und Sicherheitsteams dringend gebeten, Aufforderungen zum Herunterladen und Ausführen solcher Spiele mit äußerster Vorsicht zu genießen.

Mehr bei SentinelOne.com

 

Über SentinelOne

SentinelOne bietet autonomen Endpunktschutz durch einen einzigen Agenten, der Angriffe über alle wichtigen Vektoren hinweg erfolgreich verhindert, erkennt und darauf reagiert. Die Singularity-Plattform wurde für eine extrem einfache Bedienung entwickelt und spart Kunden Zeit, indem sie KI zur automatischen Beseitigung von Bedrohungen in Echtzeit sowohl für standortbasierte als auch für Cloud-Umgebungen einsetzt.

Passende Artikel zum Thema

FBI vs. Qakbot-Netzwerk: Zerschlagen oder nur lahmgelegt?

Am 29. August 2023 gab das US-amerikanische FBI bekannt, dass es die multinationale Cyber-Hacking- und Ransomware-Operation Qakbot bzw. Qbot zerschlagen ➡ Weiterlesen

E-Mail-Erpressung auf dem Vormarsch

Bei Erpressungs-E-Mails drohen Cyberkriminelle damit, kompromittierende Informationen ihrer Opfer zu veröffentlichen, etwa ein peinliches Foto, und fordern eine Zahlung in ➡ Weiterlesen

Risiken des Quantencomputings in der Automobilbranche

Auswirkungen der Quantencomputer-Technologie auf die Automobilindustrie, die potenziellen Cybersicherheitsrisiken der neuen Technologie und die Möglichkeiten der Risikominderung für die Automobilhersteller. ➡ Weiterlesen

Mobile Geräte: Hohe Gefährdung durch KI-generierte Angriffe

Bei mobilen Geräten ist die Gefahr einer Cyber-Attacke durch verseuchte Apps, gefälschte KI-Websites, Fake-Proxy-Server und Phishing hoch. Tools der generativen ➡ Weiterlesen

Erneuerbare Energiesysteme unzureichend gesichert

Im April 2022, wenige Monate nach Beginn des russischen Angriffs auf die Ukraine, wurden drei Windenergieunternehmen in Deutschland von Cyberkriminellen ➡ Weiterlesen

Realst Infostealer Malware infiziert macOS-Ziele

Der Realst Infostealer wird über gefälschte Blockchain-Spiele verbreitet und zielt auch auf macOS Betriebssysteme ab. Anfang Juli berichtete der Sicherheitsforscher ➡ Weiterlesen

Auch Apple-Hardware nicht per se sicher

Die Bitdefender Labs haben globale Daten über die Gefahrenlage für macOS-Systeme ausgewertet: Auch Apple-Hardware ist Ziel von Hackern. Das Ergebnis ➡ Weiterlesen

Wie Daten helfen, IT-Gefahren abzuwehren

Um die IT eines Unternehmens effektiv zu schützen, müssen Cybersicherheitsteams und Security Operations Center (SOC) diese genau überwachen – dafür ➡ Weiterlesen

 

Storys
, , , , ,