Questo mese, il ricercatore di sicurezza iamdeadlyz ha segnalato diversi finti giochi blockchain utilizzati per infettare sia gli utenti Windows che macOS con infostealers. Questi malware sono capaci di svuotare i portafogli cripto e rubare password e dati dal browser. L’analisi tecnica è stata sviluppata da Sentinel One.
Dettagli sul malware Realst
Nel caso di macOS, l’infostealer si è rivelato essere un nuovo malware scritto in Rust, chiamato “realst”. Dopo un’analisi approfondita, sono stati identificati e analizzati 59 campioni maligni del malware realst. Tra questi, alcuni campioni stanno già prendendo di mira la prossima release di Apple, macOS 14 Sonoma.
Distribuzione di Realst
Realst viene distribuito attraverso siti web malevoli che pubblicizzano finti giochi blockchain con nomi come Brawl Earth, WildWorld e altri. La campagna sembra avere collegamenti con un precedente infostealer chiamato PearlLand. Ogni versione del finto gioco blockchain ha il suo sito web, con account Twitter e Discord associati.
Installatori maligni di Realst
Alcune versioni del malware vengono distribuite tramite un installer .pkg che contiene un Mach-O maligno e tre script correlati. Alcuni di questi script, come game.py, sono infostealer cross-platform per Firefox. Altri, come installer.py, sono copie di chainbreaker, un progetto open-source per estrarre password, chiavi e certificati da un database keychain di macOS.
Analisi dinamica delle varianti di Realst
Dal punto di vista comportamentale, i campioni di realst appaiono abbastanza simili tra le varianti. Tuttavia, ciò che li rende rilevabili è l’accesso e l’esfiltrazione dei dati del browser, dei portafogli cripto e dei database keychain.
Analisi statica delle varianti di Realst
L’analisi ha identificato 16 varianti tra i 59 campioni, suddivise in quattro famiglie principali: A, B, C e D. Ogni variante ha caratteristiche distintive, come l’inclusione di stringhe legate all’AppleScript spoofing o riferimenti a chainbreaker.
Realst si prepara per macOS 14 Sonoma
Circa un terzo dei campioni identificati contiene stringhe che prendono di mira macOS 14 Sonoma. Queste stringhe appaiono in circa metà dei campioni della Variante A e in tutti i campioni della Variante B.