Realst Mac Malware

Im Rahmen einer massiven Angriffskampagne, die speziell auf Apple-Computer abzielt, ist eine neue Mac-Malware namens Realst aufgetaucht. Noch besorgniserregender ist, dass einige seiner neuesten Versionen für die Nutzung von macOS 14 Sonoma angepasst wurden, einem Betriebssystem, das sich noch in der Entwicklungsphase befindet.

Die Verbreitung dieser Schadsoftware ist nicht auf macOS-Benutzer beschränkt, sondern zielt auch auf Windows-Geräte ab. Die Angreifer tarnen die Malware geschickt als gefälschte Blockchain-Spiele und geben ihnen Namen wie Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles und SaintLegend.

Um Opfer zum Herunterladen der bedrohlichen Software zu verleiten, werden diese gefälschten Spiele in den sozialen Medien stark beworben. Die Bedrohungsakteure nutzen Direktnachrichten, um Zugangscodes weiterzugeben, die zum Herunterladen des gefälschten Spiele-Clients von zugehörigen Websites erforderlich sind. Mithilfe dieser Zugangscodes können die Angreifer ihre Ziele sorgfältig auswählen und der Entdeckung durch Sicherheitsforscher entgehen, die versuchen, ihre unsicheren Aktivitäten aufzudecken.

Die vermeintlichen Spiele-Installer infizieren die Geräte der Opfer mit Malware, die Informationen sammelt. Die Bedrohungen sind darauf spezialisiert, sensible Daten aus den Webbrowsern und Kryptowährungs-Wallet-Anwendungen des Opfers zu sammeln und die gesammelten Informationen direkt an die Bedrohungsakteure zu senden.

Die Forscher konzentrierten sich hauptsächlich auf die macOS-Versionen der Realst-Malware und entdeckten mindestens 16 Varianten mit bemerkenswerten Unterschieden zwischen ihnen, was auf einen fortlaufenden und rasanten Entwicklungsprozess hindeutet.

Angriffskette der Realst macOS-Stealer-Bedrohung

Wenn Benutzer das gefälschte Spiel von der Website des Bedrohungsakteurs herunterladen, stoßen sie je nach Betriebssystem auf unterschiedliche Malware – entweder Windows oder macOS. Für Windows-Benutzer ist RedLine Stealer die häufigste Schadsoftware, die verbreitet wird. Allerdings können manchmal auch andere Malware-Varianten wie Raccoon Stealer und AsyncRAT beteiligt sein.

Auf der anderen Seite werden Mac-Benutzer mit der Malware Realst zum Informationsdiebstahl infiziert, die als PKG-Installationsprogramme oder DMG-Festplattendateien getarnt ist. Diese Dateien geben vor, Spielinhalte zu enthalten, enthalten aber in Wirklichkeit nur unsichere Mach-O-Dateien ohne tatsächliche Spiele oder legitime Software.

Unter den schädlichen Komponenten dient die Datei „game.py“ als plattformübergreifender Firefox-Infostealer. Gleichzeitig wird „installer.py“ als „Chainbreaker“ bezeichnet und dient dazu, Passwörter, Schlüssel und Zertifikate aus der macOS-Schlüsselbunddatenbank zu extrahieren.

Um der Erkennung durch Sicherheitstools zu entgehen, wurden einige Beispiele mit zuvor gültigen (aber jetzt widerrufenen) Apple-Entwickler-IDs oder Ad-hoc-Signaturen mitgestaltet. Diese Taktik ermöglicht es der Malware, Sicherheitsmaßnahmen zu umgehen und verborgen zu bleiben.

Zahlreiche Realst-Malware-Versionen bei Angriffen aufgedeckt

Bisher wurden 16 verschiedene Varianten von Realst identifiziert. Obwohl die Varianten erhebliche Ähnlichkeiten in Struktur und Funktion aufweisen, verwenden sie unterschiedliche API-Aufrufsätze. Unabhängig davon zielt die Malware speziell auf Browser wie Firefox, Chrome, Opera, Brave, Vivaldi und die Telegram-App ab. Es scheint, dass keines der analysierten Realst-Beispiele auf Safari abzielt.

Die meisten dieser Varianten versuchen, mithilfe von Osascript- und AppleScript-Spoofing-Techniken an das Passwort des Benutzers zu gelangen. Darüber hinaus führen sie mithilfe von sysctl -n hw.model grundlegende Prüfungen durch, um sicherzustellen, dass das Hostgerät keine virtuelle Maschine ist. Die gesammelten Daten werden dann in einem Ordner namens „Data“ gespeichert, der je nach Malware-Version an verschiedenen Orten zu finden ist: entweder im Home-Ordner des Benutzers, im Arbeitsverzeichnis der Malware oder in einem Ordner, der nach dem übergeordneten Spiel benannt ist.

Forscher haben diese 16 verschiedenen Varianten anhand ihrer Unterscheidungsmerkmale in vier Hauptfamilien eingeteilt: A, B, C und D. Ungefähr 30 % der Samples aus den Familien A, B und D enthalten Zeichenfolgen, die auf das kommende macOS 14 Sonoma abzielen. Dies deutet darauf hin, dass sich die Malware-Autoren bereits auf die bevorstehende Veröffentlichung des Desktop-Betriebssystems von Apple vorbereiten, um die Kompatibilität und optimale Funktion von Realst sicherzustellen.

Angesichts dieser Bedrohung wird macOS-Benutzern empfohlen, bei Blockchain-Spielen Vorsicht walten zu lassen, da die Distributoren von Realst Discord-Kanäle und „verifizierte“ Twitter-Konten ausnutzen, um eine trügerische Illusion von Legitimität zu erzeugen. Wachsamkeit und die Überprüfung der Quellen von Spiele-Downloads können zum Schutz vor solch bedrohlicher Software beitragen.