Mac-Malware stiehlt Browser-Daten und Krypto-Vermögen – auch in Zukunft
Ein Sicherheitsforscher entdeckt im Netz neue Malware. Diese hat es auf persönliche Daten sowie Krypto-Vermögen abgesehen und ist bereit für die Zukunft. Sie soll auch auf macOS 14 «Sonoma» funktionieren. Das Betriebssystem erscheint aber erst im Oktober.
Ein Sicherheitsforscher, der sich im Netz «iamdeadlyz» nennt, hat eine neue Malware entdeckt. Er hat sie «Realst» getauft. Diese werde momentan sehr aktiv bei Macs eingesetzt. Interessant: Die neueste Variante des Virus ist bereits jetzt unter macOS 14 «Sonoma» einsatzfähig. Und dies, obwohl das Betriebssystem erst im Herbst erscheint.
Die Malware findet über gefälschte Blockchain-Games ihren Weg auf deinen Computer. Die Games werden auf verschiedenen Websites, Social-Media-Plattformen und auf Discord aktiv beworben. Einige davon sind bereits mit Namen bekannt:
- Brawl Earth WildWorld
- Dawnland
- Destruction
- Evolion
- Pearl
- Olymp of Reptiles
- SaintLegend
Interessierten wird dann per persönlicher Nachricht ein Zugangscode gesendet. Dieser ist notwendig für den Download der angeblichen Games auf den Websites der «Hersteller». Manchmal wird auch behauptet, dass man Beta-Testende suche. Trotz dieser etwas plumpen Strategie scheinen die Verursacher zunehmend Erfolg zu haben.
Die Installationspakete enthalten allerdings keine Spiele, sondern die entsprechende Malware. Konkret handelt es sich jeweils um eine «.pkg»- oder eine «.dmg»-Datei. Diese beinhalten wiederum zwei Files mit den Namen «game.py» und «installer.py».
Quelle: SentinelOne
Bei «game.py» handelt es sich um einen Firefox-Stealer, «installer.py» ist ein sogenannter «Chainbreaker». Beim Firefox-Stealer ist der Name Programm. Er umgeht die Verschlüsselungen des Mozilla-Browsers und greift allfällig gespeicherte Passwörter, Kreditkarten-Nummern und sonstige Daten ab. Beim Chainbreaker handelt es sich um ein Extraktor-Programm, welches den macOS-Schlüsselbund auslesen kann. Passwörter, Keys aber auch Zertifikate können so missbraucht werden.
Werden Dateien mit den Zertifikaten versehen, stuft das Betriebssystem diese als vertrauenswürdig ein. Wie die Fachleute herausgefunden haben, ist dies in der Vergangenheit mehrfach gelungen. Gar Signaturen von Apple-Entwickler-IDs kamen zum Einsatz. Diese wurden mittlerweile deaktiviert.
«Realst» taucht in verschiedenen Formen auf
Wie SentinelOne weiter herausfand, gibt es 16 Varianten von «Realst», die unterschiedlich aufgebaut sind. Auch das Vorgehen ist anders. Gemeinsam ist ihnen allerdings ihr Ziel: Daten von Browsern (Firefox, Chrome, Opera, Brave und Vivaldi), der Telegram-Desktop-App und diversen Krypto-Wallets abzusaugen.
Beim Herunterladen von Blockchain-Games ist also Vorsicht angezeigt. Sollte es bereits zu einem solchen Vorfall gekommen sein, hilft es, das Gerät zu resetten. Auch gespeicherte Passwörter sowie andere heikle Daten sollten schnellstmöglich geändert werden.
Titelbild:Shutterstock
Seit ich herausgefunden habe, wie man bei der ISDN-Card beide Telefonkanäle für eine grössere Bandbreite aktivieren kann, bastle ich an digitalen Netzwerken herum. Seit ich sprechen kann, an analogen. Wahl-Winterthurer mit rotblauem Herzen.