Mac-malware steelt browsergegevens en crypto-activa - ook in de toekomst
Een beveiligingsonderzoeker ontdekt nieuwe malware op internet. Het richt zich op persoonlijke gegevens en crypto-activa en is klaar voor de toekomst. Er wordt gezegd dat het ook werkt op macOS 14 "Sonoma". Het besturingssysteem wordt echter pas in oktober uitgebracht.
Een beveiligingsonderzoeker die zichzelf online "iamdeadlyz" noemt, heeft een nieuwe malware ontdekt. Hij heeft het "Realst" gedoopt. Deze wordt momenteel zeer actief gebruikt op Macs. Interessant is dat de nieuwste variant van het virus al operationeel is onder macOS 14 "Sonoma". Dit ondanks het feit dat het besturingssysteem pas in de herfst uitkomt.
De malware vindt zijn weg naar je computer via nep blockchainspellen. De spellen worden actief aangeprezen op verschillende websites, sociale mediaplatforms en op Discord. Sommige zijn al bekend bij naam:
- Brawl Earth WildWorld
- Dawnland
- Destruction
- Evolion
- Parel
- Olympus van Reptielen
- SaintLegend
Geïnteresseerden krijgen dan per persoonlijk bericht een toegangscode toegestuurd. Deze code is nodig om de vermeende spellen te downloaden van de websites van de "fabrikanten". Soms wordt ook beweerd dat er betatesters worden gezocht. Ondanks deze wat onhandige strategie lijken de daders steeds meer succes te hebben.
De installatiepakketten bevatten echter geen spellen, maar de bijbehorende malware. Concreet gaat het om een ".pkg" of een ".dmg" bestand. Deze bevatten op hun beurt twee bestanden met de namen "game.py" en "installer.py".
Bron: SentinelOne
"game.py" is een Firefox stealer, "installer.py" is een zogenaamde "chainbreaker". De naam van de Firefox stealer zegt het al. Het omzeilt de versleuteling van de Mozilla browser en krijgt toegang tot opgeslagen wachtwoorden, creditcardnummers en andere gegevens. Chainbreaker is een extractorprogramma dat de macOS sleutelhanger kan lezen. Wachtwoorden, sleutels en zelfs certificaten kunnen op deze manier misbruikt worden.
Als bestanden zijn voorzien van certificaten, classificeert het besturingssysteem ze als betrouwbaar. Zoals de experts hebben ontdekt, is dit in het verleden meerdere keren gebeurd. Er werden zelfs handtekeningen van Apple developer ID's gebruikt. Deze zijn inmiddels gedeactiveerd.
"Realst" verschijnt in verschillende vormen
Zoals SentinelOne verder ontdekte, zijn er 16 varianten van "Realst", die verschillend zijn opgebouwd. Ook de procedure is anders. Wat ze echter allemaal gemeen hebben, is hun doel: het overhevelen van gegevens uit browsers (Firefox, Chrome, Opera, Brave en Vivaldi), de Telegram desktop app en verschillende crypto wallets.
Voorzichtigheid is daarom geboden bij het downloaden van blockchainspellen. Als een dergelijk incident al heeft plaatsgevonden, helpt het om het apparaat te resetten. Opgeslagen wachtwoorden en andere gevoelige gegevens moeten ook zo snel mogelijk worden veranderd.
Coverafbeelding:ShutterstockSinds ik ontdekt heb hoe ik beide telefoonkanalen op de ISDN kaart kan activeren voor meer bandbreedte, ben ik aan het knutselen met digitale netwerken. Ik knutsel al met analoge netwerken sinds ik kan praten. Winterthur door keuze met een rood-blauw hart. En koffie - voor, na, tussendoor en tijdens.
Van de nieuwe iPhone tot de wederopstanding van de mode uit de jaren 80. De redactie categoriseert.
Alles tonen