Realst – Erste Sonoma-Malware über Fake-Videospiele verbreitet

Mit der wachsenden Beliebtheit von Apple-Computern steigt auch das Interesse von Cyberkriminellen an der Kompromittierung des Mac. So wurde kürzlich die „Realst“ getaufte Schadsoftware entdeckt, welche u. a. das kommende macOS 14 Sonoma im Visier hat. Wahrscheinlich weil dieses Betriebssystem für Gaming-Zwecke beworben wird und die iCloud-Passwörter nebst Safari auch in Drittanbieter-Browsern verwendet werden können, zielen die Kriminellen darauf ab. Die Downloads sollen angeblich Blockchain-Spiele mit NFT-Inhalten enthalten. So wird die Zielgruppe angesprochen, deren Browserdaten inkl. Passwörtern abgegriffen und deren Crypto-Wallets binnen Minuten leergeräumt werden.

Infostealer wie Realst und RedLine werden über Fake-Videospiele für macOS und Windows verbreitet. Sie stehlen Browserdaten und Krypto-Geld. Hier findet ihr Infos zur Malware, zur Verbreitung in Gaming- und Krypto-Kreisen sowie die Fake-Titel und ihre Online-Präsenzen.
Infostealer wie Realst und RedLine werden über Fake-Videospiele für macOS und Windows verbreitet. Sie stehlen Browserdaten und Krypto-Geld. Hier findet ihr Infos zur Malware, zur Verbreitung in Gaming- und Krypto-Kreisen sowie die Fake-Titel und ihre Online-Präsenzen.

Realst – Fake-Videospiele als Trojaner für Infostealer

Das Vorhandensein eines echten Spiels in den Downloads der verschiedenen Angebote scheint zu variieren. Neben Downloads, die lediglich die Malware enthalten, scheint es auch welche mit tatsächlich spielbaren Titeln zu geben. Die Schadsoftware soll dabei in der Programmiersprache Rust geschrieben worden sein und verschiedene Ziele auf dem macOS- oder Windows-Computer haben. Neben dem Abgreifen von Passwörtern und anderen Browser-Daten sind durch die gezielte Suche nach Crypto-Wallets vor allem Bitcoin-, Ethereum- und ähnliche Kontostände als Ziele ausgemacht worden.

Umfangreiche Informationen und Malware-Analysen

Neben dem Realst getauften Infostealer soll in dem Malware-Download auch der RedLine Stealer stecken. Das geht aus der Analyse der Schadsoftware von iamdeadlyz hervor, die ihr euch mit diesem Link anschauen könnt. Neben der Aufschlüsselung der einzelnen Download-Inhalte und ihren kriminellen Zwecken wird dort auch auf die Spiele eingegangen. Es wird aufgezeigt, wo sie beworben werden und welche echten Spiele sie imitieren bzw. an welchen Grafiken sie sich bedienen.

Eine umfassende Zusammenfassung der Analyse mit einigen weiteren Infos gibt es bei SentinelOne. In dem Beitrag liegt der Fokus vor allem auf macOS als Ziel der Angriffe. Aber auch für Windows sind die Downloads gefährlich. Da mit den angeblichen Spielen und ihren Blockchain-, NFT- und Crypto-Inhalten vor allem Leute aus dem Gaming- und Kryptowährungen-Bereich angesprochen werden, können sich die Kriminellen dahinter darauf verlassen, dass die Malware für sie interessante Daten sowie Wallets finden wird.

Diese Betriebssysteme werden angegriffen

  • macOS
  • Windows

Diese Browser sind anfällig für Realst

  • Firefox
  • Chrome
  • Opera
  • Brave
  • Vivaldi
  • ggf. weitere

Diese angeblichen Spiele enthalten die Malware

  • Brawl Earth
  • WildWorld
  • Dawnland / Dawn Land Metaworld
  • Destruction
  • Evolion
  • Pearl / Pearl Land Metaverse
  • Olymp of Reptiles
  • SaintLegend
  • RyzeX
  • Guardians of the Throne
  • ggf. mehr

Vorgetäuschte Seriosität, Social Media, Kontaktpersonen und mehr

Bei den oben genannten Titeln warten die Betrüger/innen dahinter nicht darauf, dass neugierige Leute zufällig über ihre Webseite stolpern oder den Social-Media-Kanal der „Entwickler/innen“ entdecken. Es gibt stattdessen eine groß angelegte Marketingkampagne, die unter anderem mit der Einrichtung von Twitter-Accounts und Discord-Servern für die einzelnen „Spiele“ einhergeht. Zudem scheinen Influencer und andere Interessierte gezielt für Testberichte angesprochen zu werden.

So enthalten die oben verlinkten Analyse-Beiträge Screenshots eines Twitter-Users, der von einem angeblichen Community Manager von „Olymp of Reptiles“ angeschrieben wurde. Er wurde für einen Testbericht angefragt, erhielt eine mehrere Dokumente umfassende Dokumentation sowie Richtlinien für den Testbericht, und mit dem Malware-Download sogar ein spielbares Spiel. Es wurde ein Meeting zur weiteren Besprechung ausgemacht, das aber nicht stattfand. Denn schon 10 Minuten nach dem Download war das Crypto-Wallet des Users geleert.

An welchen echten Spielen sich die Fake-Games bedienen

Für die genannten Fake-Spiele gibt es unterschiedliche Herangehensweisen zur Bewerbung in der Gaming-Community. Die Betrüger/innen erstellen nicht nur Discord-Server und Twitter-Profile (jeweils mit ansehnlichen Mitglieder- und Follow-Zahlen), sondern auch Webseiten und Accounts auf Seiten wie Medium.com. Diese Webpräsenzen und als angebliche Kontaktpersonen agierende Leute bedeuten eine Menge Aufwand. Spiele-Inhalte werden ebenfalls angepasst, um zumindest den ausgedachten Namen anzuzeigen.

Zudem bauen die einzelnen für die Bewerbung der Fake-Spiele genutzten Beschreibungen, Videos und Screenshots aus den angeblichen Spielen auf echten Titeln auf, die von seriösen Studios und Entwickler/innen auf seriösen Wegen angeboten werden. Mit den Informationen aus der Malware-Analyse von iamdeadlyz lässt sich die folgende Übersicht erstellen, in der ihr seht, welche Spiele für die Malware-Kampagne ausgenutzt werden und dadurch eine nicht gerechtfertigte Rufschädigung erfahren.

Fake-Spiel Echtes Spiel
Pearl Land Metaverse (Medium) Rune Teller (Steam)
Destruction (Twitter) Dissolution (Steam)
Evolion (Twitter) Avania (Webseite)
Olymp of Reptiles (Twitter) Goldmand (Webseite)
BrawlEarth (Twitter) Tearing Spaces (Webseite)
SaintLegend (Twitter)
Dawn Land Metaverse (Rarible) Saleblazers (Steam)
WildWorld (YouTube) CaveWorld (Webseite)
RyzeX (Twitter) Drunk Robots (Webseite)
Guardians of the Throne (Twitter) Guardians of the Throne (Play Store, keine offizielle macOS- oder Windows-Version!)

Zusammenfassung zur Realst Malware für macOS und Windows

Realst und ähnliche Malware zielt nun also vermehrt auch auf den Apple Mac ab. Für den Schutz bzw. das Entfernen von Schadsoftware unter macOS könnt ihr z. B. CleanMyMac X oder Malwarebytes nutzen. Das heißt aber nicht, dass ihr unkritisch durchs Internet ziehen und jeden Download mitnehmen solltet, den ihr findet. Neben der aktuellen Gaming-Kampagne mit Kryptowährungen als Ziel kann es zukünftig weitere seriös scheinende Verteilkampagnen für Realst und andere Malware geben. Zumal zwar Safari scheinbar nicht angegriffen wird, andere Webbrowser aber schon. Und in diesen kann ab macOS 14 Sonoma der auf Apple-Geräten genutzte Schlüsselbund mit allen Passwörtern verwendet werden.

Bleibt vorsichtig!

Meine Tipps & Tricks rund um Technik & Apple

Hat dir der Artikel gefallen und helfen dir die Anleitungen im Blog? Dann würde ich mich freuen, wenn du das Blog über eine Steady-Mitgliedschaft unterstützen würdest.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Im Sir Apfelot Blog findest du Ratgeber, Anleitungen und Testberichte zu Apple Produkten wie iPhone, iPad, Apple Watch, AirPods, iMac, Mac Pro, Mac Mini und Mac Studio.

Specials