Mit der wachsenden Beliebtheit von Apple-Computern steigt auch das Interesse von Cyberkriminellen an der Kompromittierung des Mac. So wurde kürzlich die „Realst“ getaufte Schadsoftware entdeckt, welche u. a. das kommende macOS 14 Sonoma im Visier hat. Wahrscheinlich weil dieses Betriebssystem für Gaming-Zwecke beworben wird und die iCloud-Passwörter nebst Safari auch in Drittanbieter-Browsern verwendet werden können, zielen die Kriminellen darauf ab. Die Downloads sollen angeblich Blockchain-Spiele mit NFT-Inhalten enthalten. So wird die Zielgruppe angesprochen, deren Browserdaten inkl. Passwörtern abgegriffen und deren Crypto-Wallets binnen Minuten leergeräumt werden.
Kapitel in diesem Beitrag:
- 1 Realst – Fake-Videospiele als Trojaner für Infostealer
- 2 Umfangreiche Informationen und Malware-Analysen
- 3 Diese Betriebssysteme werden angegriffen
- 4 Diese Browser sind anfällig für Realst
- 5 Diese angeblichen Spiele enthalten die Malware
- 6 Vorgetäuschte Seriosität, Social Media, Kontaktpersonen und mehr
- 7 An welchen echten Spielen sich die Fake-Games bedienen
- 8 Zusammenfassung zur Realst Malware für macOS und Windows
- 9 Meine Tipps & Tricks rund um Technik & Apple
- 10 Ähnliche Beiträge
Realst – Fake-Videospiele als Trojaner für Infostealer
Das Vorhandensein eines echten Spiels in den Downloads der verschiedenen Angebote scheint zu variieren. Neben Downloads, die lediglich die Malware enthalten, scheint es auch welche mit tatsächlich spielbaren Titeln zu geben. Die Schadsoftware soll dabei in der Programmiersprache Rust geschrieben worden sein und verschiedene Ziele auf dem macOS- oder Windows-Computer haben. Neben dem Abgreifen von Passwörtern und anderen Browser-Daten sind durch die gezielte Suche nach Crypto-Wallets vor allem Bitcoin-, Ethereum- und ähnliche Kontostände als Ziele ausgemacht worden.
Umfangreiche Informationen und Malware-Analysen
Neben dem Realst getauften Infostealer soll in dem Malware-Download auch der RedLine Stealer stecken. Das geht aus der Analyse der Schadsoftware von iamdeadlyz hervor, die ihr euch mit diesem Link anschauen könnt. Neben der Aufschlüsselung der einzelnen Download-Inhalte und ihren kriminellen Zwecken wird dort auch auf die Spiele eingegangen. Es wird aufgezeigt, wo sie beworben werden und welche echten Spiele sie imitieren bzw. an welchen Grafiken sie sich bedienen.
Eine umfassende Zusammenfassung der Analyse mit einigen weiteren Infos gibt es bei SentinelOne. In dem Beitrag liegt der Fokus vor allem auf macOS als Ziel der Angriffe. Aber auch für Windows sind die Downloads gefährlich. Da mit den angeblichen Spielen und ihren Blockchain-, NFT- und Crypto-Inhalten vor allem Leute aus dem Gaming- und Kryptowährungen-Bereich angesprochen werden, können sich die Kriminellen dahinter darauf verlassen, dass die Malware für sie interessante Daten sowie Wallets finden wird.
Diese Betriebssysteme werden angegriffen
- macOS
- Windows
Diese Browser sind anfällig für Realst
- Firefox
- Chrome
- Opera
- Brave
- Vivaldi
- ggf. weitere
Diese angeblichen Spiele enthalten die Malware
- Brawl Earth
- WildWorld
- Dawnland / Dawn Land Metaworld
- Destruction
- Evolion
- Pearl / Pearl Land Metaverse
- Olymp of Reptiles
- SaintLegend
- RyzeX
- Guardians of the Throne
- ggf. mehr
Bei den oben genannten Titeln warten die Betrüger/innen dahinter nicht darauf, dass neugierige Leute zufällig über ihre Webseite stolpern oder den Social-Media-Kanal der „Entwickler/innen“ entdecken. Es gibt stattdessen eine groß angelegte Marketingkampagne, die unter anderem mit der Einrichtung von Twitter-Accounts und Discord-Servern für die einzelnen „Spiele“ einhergeht. Zudem scheinen Influencer und andere Interessierte gezielt für Testberichte angesprochen zu werden.
So enthalten die oben verlinkten Analyse-Beiträge Screenshots eines Twitter-Users, der von einem angeblichen Community Manager von „Olymp of Reptiles“ angeschrieben wurde. Er wurde für einen Testbericht angefragt, erhielt eine mehrere Dokumente umfassende Dokumentation sowie Richtlinien für den Testbericht, und mit dem Malware-Download sogar ein spielbares Spiel. Es wurde ein Meeting zur weiteren Besprechung ausgemacht, das aber nicht stattfand. Denn schon 10 Minuten nach dem Download war das Crypto-Wallet des Users geleert.
An welchen echten Spielen sich die Fake-Games bedienen
Für die genannten Fake-Spiele gibt es unterschiedliche Herangehensweisen zur Bewerbung in der Gaming-Community. Die Betrüger/innen erstellen nicht nur Discord-Server und Twitter-Profile (jeweils mit ansehnlichen Mitglieder- und Follow-Zahlen), sondern auch Webseiten und Accounts auf Seiten wie Medium.com. Diese Webpräsenzen und als angebliche Kontaktpersonen agierende Leute bedeuten eine Menge Aufwand. Spiele-Inhalte werden ebenfalls angepasst, um zumindest den ausgedachten Namen anzuzeigen.
Zudem bauen die einzelnen für die Bewerbung der Fake-Spiele genutzten Beschreibungen, Videos und Screenshots aus den angeblichen Spielen auf echten Titeln auf, die von seriösen Studios und Entwickler/innen auf seriösen Wegen angeboten werden. Mit den Informationen aus der Malware-Analyse von iamdeadlyz lässt sich die folgende Übersicht erstellen, in der ihr seht, welche Spiele für die Malware-Kampagne ausgenutzt werden und dadurch eine nicht gerechtfertigte Rufschädigung erfahren.
Fake-Spiel | Echtes Spiel |
Pearl Land Metaverse (Medium) | Rune Teller (Steam) |
Destruction (Twitter) | Dissolution (Steam) |
Evolion (Twitter) | Avania (Webseite) |
Olymp of Reptiles (Twitter) | Goldmand (Webseite) |
BrawlEarth (Twitter) | Tearing Spaces (Webseite) |
SaintLegend (Twitter) | |
Dawn Land Metaverse (Rarible) | Saleblazers (Steam) |
WildWorld (YouTube) | CaveWorld (Webseite) |
RyzeX (Twitter) | Drunk Robots (Webseite) |
Guardians of the Throne (Twitter) | Guardians of the Throne (Play Store, keine offizielle macOS- oder Windows-Version!) |
Zusammenfassung zur Realst Malware für macOS und Windows
Realst und ähnliche Malware zielt nun also vermehrt auch auf den Apple Mac ab. Für den Schutz bzw. das Entfernen von Schadsoftware unter macOS könnt ihr z. B. CleanMyMac X oder Malwarebytes nutzen. Das heißt aber nicht, dass ihr unkritisch durchs Internet ziehen und jeden Download mitnehmen solltet, den ihr findet. Neben der aktuellen Gaming-Kampagne mit Kryptowährungen als Ziel kann es zukünftig weitere seriös scheinende Verteilkampagnen für Realst und andere Malware geben. Zumal zwar Safari scheinbar nicht angegriffen wird, andere Webbrowser aber schon. Und in diesen kann ab macOS 14 Sonoma der auf Apple-Geräten genutzte Schlüsselbund mit allen Passwörtern verwendet werden.
Bleibt vorsichtig!
Meine Tipps & Tricks rund um Technik & Apple
Ähnliche Beiträge
Johannes hat nach dem Abitur eine Ausbildung zum Wirtschaftsassistenten in der Fachrichtung Fremdsprachen absolviert. Danach hat er sich aber für das Recherchieren und Schreiben entschieden, woraus seine Selbstständigkeit hervorging. Seit mehreren Jahren arbeitet er nun u. a. für Sir Apfelot. Seine Artikel beinhalten Produktvorstellungen, News, Anleitungen, Videospiele, Konsolen und einiges mehr. Apple Keynotes verfolgt er live per Stream.