Anfang Juli berichtete der Sicherheitsforscher „iamdeadlyz“ über mehrere gefälschte Blockchain-Spiele, die dazu verwendet werden, sowohl Windows- als auch MacOS-Ziele mit Infostealern zu infizieren, die Krypto-Wallets leeren und gespeicherte Passwort- und Browserdaten stehlen können. Im Falle von MacOS stellte sich heraus, dass es sich bei dem Infostealer um eine neue, in Rust geschriebene Malware mit dem Namen „realst“ handelt. Aufbauend auf einer früheren Analyse identifizierten und analysierte SentinelLabs, die Forschungsabteilung von Sentinelone, 59 bösartige Mach-O-Samples der neuen Malware. Dabei wurde ersichtlich, dass einige Samples bereits auf Apples kommende Betriebssystemversion MacOS-14-Sonoma abzielen.
Verbreitung der Malware
Realst-Infostealer wird über bösartige Websites verbreitet, die gefälschte Blockchain-Spiele mit Namen wie Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles und SaintLegend bewerben. Die Kampagne scheint Verbindungen zu dem früheren Infostealer PearlLand zu haben. Jede Version des gefälschten Blockchain-Spiels wird auf einer eigenen Website gehostet, einschließlich zugehöriger Twitter- und Discord-Konten. Wie iamdeadlyz berichtet, wurden Bedrohungsakteure dabei beobachtet, wie sie potenzielle Opfer über Direktnachrichten in den sozialen Medien ansprachen.
Detaillierte Analyse der Realst-Varianten
Vom Verhalten her sehen die Realst-Samples bei allen Varianten ziemlich ähnlich aus und lassen sich auf ähnliche Weise wie andere MacOS-Infostealer erkennen. Obwohl sie manchmal unterschiedliche API-Aufrufe verwenden und einige Variantenabhängigkeiten aufweisen, ist aus Sicht der Telemetrie der Schlüssel zu all diesen Infostealern der Zugriff und die Exfiltration von Browserdaten, Krypto-Wallets und Schlüsselbunddatenbanken. Zu den angegriffenen Browsern gehören Firefox, Chrome, Opera, Brave und Vivaldi. Safari war in keinem der analysierten Beispiele ein Ziel. Außerdem konnte festgestellt werden, dass die Malware auch auf die Telegram-Anwendung abzielt.
Bei der Analyse von SentinelLabs wurden 16 Varianten in 59 Proben identifiziert, die in vier Hauptfamilien eingeteilt wurden: A, B, C und D. Es gibt eine Reihe von Überschneidungen, die es erlauben würden, die Trennlinien auch anders zu ziehen. Die Sicherheitsforscher haben sich für die folgende Taxonomie entschieden, die auf String-Artefakten basiert, die Bedrohungsjägern bei der besseren Identifizierung und Erkennung helfen sollen:
Realst-Variantenfamilie A: Von den 59 Mach-O-Samples, die analysiert wurden, fallen 26 in die Variante A. Diese Variante hat eine Reihe von Untervarianten, aber sie alle haben ein gemeinsames Merkmal, das in den Varianten B, C und D nicht zu finden ist: Die Einbeziehung ganzer Zeichenketten, die mit AppleScript-Spoofing zusammenhängen. Die Varianten der Familie A verwenden AppleScript-Spoofing auf ähnliche Weise, wie es bei früheren macOS-Diebstählen beobachtet wurde.
Realst-Variante Familie B: Die Varianten der Familie B weisen ebenfalls statische Artefakte auf, die mit Passwort-Spoofing zusammenhängen, aber diese Samples zeichnen sich dadurch aus, dass sie die Zeichenketten in kleinere Einheiten aufteilen, um eine einfache statische Erkennung zu umgehen. Es wurde festgestellt, dass 10 der 59 Proben in diese Kategorie fallen.
Realst-Variante Familie C : Familie C versucht ebenfalls, die Zeichenketten für das AppleScript-Spoofing zu verstecken, indem sie die Zeichenketten auf die gleiche Weise aufbricht wie Variante B. Variante C unterscheidet sich jedoch dadurch, dass sie einen Verweis auf chainbreaker in die Mach-O-Binärdatei selbst einführt. 7 der 59 Proben fielen in diese Kategorie.
Realst-Variante Familie D: In Familie D, auf die 16 der Proben entfallen, gibt es keine statischen Artefakte für osascript-Spoofing. Das Auslesen von Passwörtern erfolgt durch eine Eingabeaufforderung im Terminalfenster über die Funktion „get_keys_with_access“. Sobald das Passwort erfasst ist, wird es sofort an „sym.realst::utils::get_kc_keys“ übergeben, das dann versucht, Passwörter aus dem Schlüsselbund auszulesen.
Effektive Schutzmaßnahmen für Unternehmen
Alle bekannten Varianten von Realst-MacOS-Infostealer werden vom Sentinelone-Agenten erkannt und, sofern die Site-Policy „Prevent“ aktiviert ist, an der Ausführung gehindert. Apples-Malware-Blockierungsdienst „XProtect“ scheint die Ausführung dieser Malware zum Zeitpunkt der Erstellung dieses Artikels nicht zu verhindern. Unternehmen, die nicht durch Sentinelone geschützt sind, können die umfassende Liste an Indikatoren zur Unterstützung der Bedrohungssuche und -erkennung nutzen.
Aktuelle Bedrohungslage
Die Anzahl der Realst-Samples und die Variationen zeigen, dass der Bedrohungsakteur ernsthafte Anstrengungen unternommen hat, um MacOS-Nutzer für den Diebstahl von Daten und Kryptowährungen ins Visier zu nehmen. Es wurden mehrere gefälschte Spieleseiten mit Discord-Servern und zugehörigen Twitter-Konten erstellt, um die Illusion echter Produkte vorzutäuschen und Nutzer zum Ausprobieren zu bewegen. Sobald das Opfer diese gefälschten Spiele startet und dem „Installationsprogramm“ ein Passwort mitteilt, werden seine Daten, Passwörter und Krypto-Wallets gestohlen. Angesichts des aktuellen Interesses an Blockchain-Spielen, die den Nutzern versprechen, beim Spielen Geld zu verdienen, werden Nutzer und Sicherheitsteams dringend gebeten, Aufforderungen zum Herunterladen und Ausführen solcher Spiele mit äußerster Vorsicht zu genießen.
#Sentinelone
