SentinelOne analyseert nieuwe Apple crimeware
De Realst Infostealer wordt verspreid via schadelijke websites die reclame maken voor nep-blockchain games met namen als Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles en SaintLegend. De campagne lijkt banden te hebben met PearlLand. Elke versie van het nepspel wordt gehost op een eigen website, compleet met bijbehorende Twitter- en Discord-accounts.
De Realst-samples lijken veel op elkaar en vertonen hetzelfde gedrag. Ze zijn op dezelfde manier te detecteren als andere macOS-infostealers. Hoewel ze van elkaar verschillen, hebben ze hetzelfde doel: het verkrijgen van de toegang tot en exfiltratie van browsergegevens, crypto wallets en keychain databases. De meeste varianten proberen het wachtwoord van de gebruiker te achterhalen via osascript en AppleScript spoofing en voeren een eenvoudige controle uit.
Organisaties kunnen de indicatoren in dit bericht gebruiken als hulpmiddel bij het opsporen van dreigingen. De malware-blokkeerservice van Apple, XProtect, lijkt op dit moment de uitvoering van deze malware nog niet te voorkomen. Vanwege de populariteit van blockchain-games (die gebruikers beloven dat ze geld verdienen tijdens het gamen) worden gebruikers en beveiligingsteams geadviseerd om uiterst voorzichtig te zijn met het downloaden en uitvoeren van dit soort games.
Meer achtergrondinformatie is te vinden in deze blogpost.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee