Sommario
Questo mese, il ricercatore di sicurezza iamdeadlyz ha segnalato diversi finti giochi blockchain utilizzati per infettare sia gli utenti Windows che macOS con infostealers. Questi malware sono capaci di svuotare i portafogli cripto e rubare password e dati dal browser. Lโanalisi tecnica รจ stata sviluppata da Sentinel One.
Dettagli sul malware Realst
Nel caso di macOS, lโinfostealer si รจ rivelato essere un nuovo malware scritto in Rust, chiamato โrealstโ. Dopo unโanalisi approfondita, sono stati identificati e analizzati 59 campioni maligni del malware realst. Tra questi, alcuni campioni stanno giร prendendo di mira la prossima release di Apple, macOS 14 Sonoma.
Distribuzione di Realst
Realst viene distribuito attraverso siti web malevoli che pubblicizzano finti giochi blockchain con nomi come Brawl Earth, WildWorld e altri. La campagna sembra avere collegamenti con un precedente infostealer chiamato PearlLand. Ogni versione del finto gioco blockchain ha il suo sito web, con account Twitter e Discord associati.
Installatori maligni di Realst
Alcune versioni del malware vengono distribuite tramite un installer .pkg che contiene un Mach-O maligno e tre script correlati. Alcuni di questi script, come game.py, sono infostealer cross-platform per Firefox. Altri, come installer.py, sono copie di chainbreaker, un progetto open-source per estrarre password, chiavi e certificati da un database keychain di macOS.
Analisi dinamica delle varianti di Realst
Dal punto di vista comportamentale, i campioni di realst appaiono abbastanza simili tra le varianti. Tuttavia, ciรฒ che li rende rilevabili รจ lโaccesso e lโesfiltrazione dei dati del browser, dei portafogli cripto e dei database keychain.
Analisi statica delle varianti di Realst
Lโanalisi ha identificato 16 varianti tra i 59 campioni, suddivise in quattro famiglie principali: A, B, C e D. Ogni variante ha caratteristiche distintive, come lโinclusione di stringhe legate allโAppleScript spoofing o riferimenti a chainbreaker.
Realst si prepara per macOS 14 Sonoma
Circa un terzo dei campioni identificati contiene stringhe che prendono di mira macOS 14 Sonoma. Queste stringhe appaiono in circa metร dei campioni della Variante A e in tutti i campioni della Variante B.