Infostealer
Apple Crimeware: Infostealer nimmt macOS Sonoma schon vor Release ins Visier
Anfang Juli berichtete der Security-Forscher iamdeadlyz über mehrere gefälschte Blockchain-Spiele, die dazu verwendet werden, sowohl Windows- als auch macOS-Ziele mit Infostealern zu infizieren, die Krypto-Wallets leeren und gespeicherte Passwort- und Browserdaten stehlen können. Im Falle von macOS stellte sich heraus, dass es sich bei dem Infostealer um eine neue, in Rust geschriebene Malware mit dem Namen „realst" handelt. Aufbauend auf einer früheren Analyse identifizierten und analysierte SentinelLabs, die Forschungsabteilung von SentinelOne , 59 bösartige Mach-O-Samples der neuen Malware. Dabei wurde ersichtlich, dass einige Samples bereits auf Apples kommende Betriebssystemversion macOS 14 Sonoma abzielen.
Verbreitung der Malware
Realst Infostealer wird über bösartige Websites verbreitet, die gefälschte Blockchain-Spiele mit Namen wie Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles und SaintLegend bewerben. Die Kampagne scheint Verbindungen zu dem früheren Infostealer PearlLand zu haben. Jede Version des gefälschten Blockchain-Spiels wird auf einer eigenen Website gehostet, einschließlich zugehöriger Twitter- und Discord-Konten. Wie iamdeadlyz berichtet, wurden Bedrohungsakteure dabei beobachtet, wie sie potenzielle Opfer über Direktnachrichten in den sozialen Medien ansprachen.
Detaillierte Analyse der Realst-Varianten
Vom Verhalten her sehen die Realst-Samples bei allen Varianten ziemlich ähnlich aus und lassen sich auf ähnliche Weise wie andere macOS-Infostealer erkennen. Obwohl sie manchmal unterschiedliche API-Aufrufe verwenden und einige Variantenabhängigkeiten aufweisen, ist aus Sicht der Telemetrie der Schlüssel zu all diesen Infostealern der Zugriff und die Exfiltration von Browserdaten, Krypto-Wallets und Schlüsselbunddatenbanken. Zu den angegriffenen Browsern gehören Firefox, Chrome, Opera, Brave und Vivaldi. Safari war in keinem der analysierten Beispiele ein Ziel. Außerdem konnte festgestellt werden, dass die Malware auch auf die Telegram-Anwendung abzielt.
Bei der Analyse von SentinelLabs wurden 16 Varianten in 59 Proben identifiziert, die in vier Hauptfamilien eingeteilt wurden: A, B, C und D. Es gibt eine Reihe von Überschneidungen, die es erlauben würden, die Trennlinien auch anders zu ziehen. Die Security-Forscher haben sich für die eine Taxonomie entschieden, die auf String-Artefakten basiert, die Bedrohungsjägern bei der besseren Identifizierung und Erkennung helfen sollen.
Effektive Schutzmaßnahmen für Unternehmen
Alle bekannten Varianten von Realst macOS Infostealer werden vom SentinelOne-Agenten erkannt und, sofern die Site-Policy „Prevent" aktiviert ist, an der Ausführung gehindert. Apples Malware-Blockierungsdienst „XProtect" scheint die Ausführung dieser Malware zum Zeitpunkt der Erstellung dieses Artikels nicht zu verhindern. Unternehmen, die nicht durch SentinelOne geschützt sind, können die umfassende Liste an Indikatoren zur Unterstützung der Bedrohungssuche und -erkennung nutzen.
Aktuelle Bedrohungslage
Die Anzahl der Realst-Samples und die Variationen zeigen, dass der Bedrohungsakteur ernsthafte Anstrengungen unternommen hat, um macOS-Nutzer für den Diebstahl von Daten und Kryptowährungen ins Visier zu nehmen. Es wurden mehrere gefälschte Spieleseiten mit Discord-Servern und zugehörigen Twitter-Konten erstellt, um die Illusion echter Produkte vorzutäuschen und Nutzer zum Ausprobieren zu bewegen. Sobald das Opfer diese gefälschten Spiele startet und dem „Installationsprogramm" ein Passwort mitteilt, werden seine Daten, Passwörter und Krypto-Wallets gestohlen. Angesichts des aktuellen Interesses an Blockchain-Spielen, die den Nutzern versprechen, beim Spielen Geld zu verdienen, werden Nutzer und Sicherheitsteams dringend gebeten, Aufforderungen zum Herunterladen und Ausführen solcher Spiele mit äußerster Vorsicht zu genießen.
