Realst Infostealer sahte blockchain oyunları aracılığıyla dağıtılıyor ve aynı zamanda macOS işletim sistemlerini de hedefliyor.
Temmuz ayının başlarında, güvenlik araştırmacısı iamdeadlyz, kripto cüzdanlarını boşaltabilen ve kayıtlı şifre ve tarama verilerini çalabilen bilgi hırsızları ile hem Windows hem de macOS hedeflerine bulaşmak için çeşitli sahte blockchain oyunlarının kullanıldığını bildirmişti. MacOS örneğinde, bilgi hırsızının Rust'ta yazılmış "realst" adlı yeni bir kötü amaçlı yazılım olduğu ortaya çıktı. Daha önceki bir analize dayanarak, SentinelOne'ın araştırma kolu olan SentinelLabs, yeni kötü amaçlı yazılımın 59 kötü amaçlı Mach-O örneğini tanımladı ve analiz etti. Bazı örneklerin halihazırda Apple'ın yakında çıkacak işletim sistemi sürümü macOS 14 Sonoma'yı hedeflediği ortaya çıktı.
kötü amaçlı yazılımın yayılması
Realst Infostealer, Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles ve SaintLegend gibi sahte blockchain oyunlarını tanıtan kötü amaçlı web siteleri kullanılarak dağıtılıyor. Kampanyanın eski bilgi hırsızı PearlLand ile bağları var gibi görünüyor. Sahte blockchain oyununun her versiyonu, ilgili Twitter ve Discord hesaplarıyla birlikte kendi web sitesinde barındırılıyor. iamdeadlyz tarafından bildirildiği üzere, tehdit aktörlerinin sosyal medya üzerinden doğrudan mesajlar yoluyla potansiyel kurbanları hedef aldığı gözlemlendi.
Gerçek varyantların ayrıntılı analizi
Davranışsal olarak Realst örnekleri tüm varyantlarda oldukça benzer görünüyor ve diğer macOS bilgi hırsızlarına benzer şekilde tespit edilebiliyor. Bazen farklı API çağrıları kullansalar ve bazı değişken bağımlılıklara sahip olsalar da, telemetri açısından bakıldığında, tüm bu bilgi hırsızlarının anahtarı tarayıcı verilerine, kripto cüzdanlara ve anahtarlık veritabanlarına erişim ve bunların sızdırılmasıdır. Hedeflenen tarayıcılar arasında Firefox, Chrome, Opera, Brave ve Vivaldi yer alıyor. Analiz edilen örneklerin hiçbirinde Safari hedef değildi. Ayrıca kötü amaçlı yazılımın Telegram uygulamasını da hedef aldığı tespit edildi.
SentinelLabs analizi, 16 örnekte 59 varyant tespit etti ve bunlar dört ana aileye ayrıldı: A, B, C ve D. Bölme çizgilerinin farklı şekilde çizilmesine olanak tanıyan çok sayıda örtüşme var. Güvenlik araştırmacıları, tehdit avcılarının daha iyi tanımlamasına ve tespit etmesine yardımcı olmak için tasarlanmış dize yapıtlarını temel alan aşağıdaki sınıflandırmada karar kıldılar:
Realst Varyant Ailesi A
Analiz edilen 59 Mach-O örneğinden 26'sı A varyantına giriyor. Bu varyantın bir dizi alt değişkeni var, ancak hepsi B, C ve D varyantlarında bulunmayan ortak bir özelliği paylaşıyor: AppleScript sahtekarlığıyla ilgili tüm dizelerin dahil edilmesi . A Ailesi çeşitleri, önceki macOS hırsızlıklarında gözlemlenene benzer şekilde AppleScript sahtekarlığını kullanıyor.
Realst varyant ailesi B
B ailesi varyantları aynı zamanda şifre sahteciliğiyle ilgili statik yapılar da sergiliyor, ancak bu örnekler basit statik algılamayı atlamak için dizeleri daha küçük birimlere ayırma konusunda mükemmel. 10 örnekten 59'unun bu kategoriye girdiği belirlendi.
Realst varyant ailesi C
C ailesi ayrıca, B değişkeniyle aynı şekilde dizeleri bölerek AppleScript sahtekarlığı dizelerini gizlemeye çalışır. Bununla birlikte, C türü, Mach-O ikili dosyasının kendisinde zincir kırıcıya bir referans sunması bakımından farklılık gösterir. 7 örneğin 59'si bu kategoriye girdi.
Realst varyant ailesi D
Örneklerin 16'sını oluşturan D ailesinde, osascript sahtekarlığına yönelik hiçbir statik yapı yoktur. Parolalar, "get_keys_with_access" işlevi kullanılarak terminal penceresindeki bir komut istemiyle okunur. Parola yakalandığında hemen sym.realst::utils::get_kc_keys'e aktarılır ve bu anahtar daha sonra anahtarlıktan parolaları almaya çalışır.
Şirketler için etkili koruyucu önlemler
Realst macOS Infostealer'ın bilinen tüm çeşitleri SentinelOne aracısı tarafından algılanır ve Siteyi engelle ilkesi etkinse çalıştırılmaları engellenir. Apple'ın kötü amaçlı yazılım engelleme hizmeti "XProtect", bu yazının yazıldığı sırada bu kötü amaçlı yazılımın çalışmasını engellemiyor gibi görünüyor. SentinelOne tarafından korunmayan kuruluşlar, tehdit avcılığı ve tespitine yardımcı olmak için kapsamlı gösterge listesinden yararlanabilir.
Mevcut tehdit durumu
Gerçek örnek sayıları ve varyasyonları, tehdit aktörünün veri ve kripto para hırsızlığı amacıyla macOS kullanıcılarını hedeflemek için ciddi çaba harcadığını gösteriyor. Discord sunucuları ve ilgili Twitter hesapları bulunan çeşitli sahte oyun siteleri, gerçek ürünler yanılsamasını vermek ve kullanıcıları bunları denemeye teşvik etmek için oluşturulmuştur. Kurban bu sahte oyunları başlatıp "yükleyiciye" bir şifre sağladığında verileri, şifreleri ve kripto cüzdanları çalınır. Kullanıcılara oynarken para kazanma sözü veren blockchain oyunlarına olan mevcut ilgi göz önüne alındığında, kullanıcıların ve güvenlik ekiplerinin bu tür oyunları indirip çalıştırmaları istendiğinde son derece dikkatli olmaları tavsiye ediliyor.
Daha fazlası SentinelOne.com'da
SentinelOne Hakkında
SentinelOne, tüm ana vektörlerdeki saldırıları başarılı bir şekilde önleyen, algılayan ve bunlara yanıt veren tek bir aracı aracılığıyla otonom uç nokta koruması sağlar. Kullanımı son derece kolay olacak şekilde tasarlanan Singularity platformu, hem şirket içi hem de bulut ortamları için tehditleri gerçek zamanlı olarak otomatik olarak düzeltmek için yapay zekayı kullanarak müşterilere zaman kazandırır.
Konuyla ilgili makaleler