Realst Mac البرامج الضارة

برز برنامج ضار جديد لأجهزة Mac يُدعى Realst كجزء من حملة هجوم ضخمة تستهدف أجهزة كمبيوتر Apple على وجه التحديد. الأمر الأكثر إثارة للقلق هو أن بعض إصداراته الأخيرة قد تم تكييفها لاستغلال macOS 14 Sonoma ، وهو نظام تشغيل لا يزال في مرحلة التطوير.

لا يقتصر توزيع هذه البرامج الضارة على مستخدمي macOS ، حيث إنها تستهدف أيضًا أجهزة Windows. يقوم المهاجمون بإخفاء البرامج الضارة بمهارة على أنها ألعاب بلوكشين مزيفة ، ومنحهم أسماء مثل Brawl Earth و WildWorld و Dawnland و Destruction و Evolion و Pearl و Olymp of Reptiles و SaintLegend.

لجذب الضحايا إلى تنزيل برنامج التهديد ، يتم الترويج لهذه الألعاب المزيفة بشكل كبير على وسائل التواصل الاجتماعي. يستخدم ممثلو التهديد رسائل مباشرة لمشاركة رموز الوصول المطلوبة لتنزيل عميل اللعبة المزيف من مواقع الويب المرتبطة. باستخدام رموز الوصول هذه ، يمكن للمهاجمين تحديد أهدافهم بعناية وتجنب اكتشاف الباحثين الأمنيين الذين يحاولون الكشف عن أنشطتهم غير الآمنة.

تصيب أدوات التثبيت المفترضة للعبة أجهزة الضحايا ببرامج ضارة لجمع المعلومات. تتخصص التهديدات في جمع البيانات الحساسة من متصفحات الويب الخاصة بالضحية وتطبيقات محفظة العملات المشفرة ، وإرسال المعلومات التي تم جمعها مباشرة إلى الجهات الفاعلة في التهديد.

ركز الباحثون بشكل أساسي على إصدارات macOS من برنامج Realst الضار واكتشفوا ما لا يقل عن 16 متغيرًا مع وجود اختلافات ملحوظة بينهم ، مما يشير إلى عملية تطوير مستمرة وسريعة الخطى.

سلسلة هجوم Realst macOS Stealer Threat

عندما يقوم المستخدمون بتنزيل اللعبة المزيفة من موقع الويب الخاص بممثل التهديد ، سيواجهون برامج ضارة مختلفة بناءً على نظام التشغيل الخاص بهم - إما Windows أو macOS. بالنسبة لمستخدمي Windows ، فإن البرامج الضارة الشائعة التي يتم توزيعها هي RedLine Stealer . ومع ذلك ، في بعض الأحيان ، قد تشارك أيضًا أنواع أخرى من البرامج الضارة مثل Raccoon Stealer و AsyncRAT .

من ناحية أخرى ، سيُصاب مستخدمو Mac ببرنامج Realst info-stealing الخبيث ، والذي يتنكر في هيئة مثبتات PKG أو ملفات قرص DMG. تدعي هذه الملفات أنها تحتوي على محتوى لعبة ، ولكنها في الواقع لا تحتوي إلا على ملفات Mach-O غير الآمنة التي لا تحتوي على ألعاب فعلية أو برامج مشروعة.

من بين المكونات الخبيثة ، يعمل ملف "game.py" بمثابة أداة اختراق لمتصفح Firefox عبر الأنظمة الأساسية. في الوقت نفسه ، يُطلق على "installer.py" اسم "chainbreaker" ، وهو مصمم لاستخراج كلمات المرور والمفاتيح والشهادات من قاعدة بيانات macOS keychain.

لتجنب الكشف عن طريق أدوات الأمان ، تم تصميم بعض العينات باستخدام معرّفات Apple Developer الصالحة (ولكن تم إبطالها الآن) أو التوقيعات المخصصة. يسمح هذا التكتيك للبرامج الضارة بتخطي الإجراءات الأمنية والبقاء مخفية.

تم اكتشاف العديد من إصدارات البرامج الضارة الواقعية في الهجمات

حتى الآن ، تم تحديد 16 نوعًا مختلفًا من Realst. على الرغم من مشاركة أوجه التشابه الكبيرة في الهيكل والوظيفة ، فإن المتغيرات تستخدم مجموعات استدعاء API مختلفة. بغض النظر ، تستهدف البرامج الضارة بشكل خاص متصفحات مثل Firefox و Chrome و Opera و Brave و Vivaldi وتطبيق Telegram. يبدو أنه لا يبدو أن أيًا من عينات Realst التي تم تحليلها تستهدف Safari.

تحاول معظم هذه المتغيرات الحصول على كلمة مرور المستخدم باستخدام تقنيات osascript و AppleScript spoofing. بالإضافة إلى ذلك ، يقومون بإجراء فحوصات أساسية للتأكد من أن الجهاز المضيف ليس جهازًا افتراضيًا ، باستخدام نموذج sysctl -n hw.model. يتم بعد ذلك تخزين البيانات التي تم جمعها في مجلد باسم "البيانات" ، والذي يمكن العثور عليه في مواقع مختلفة اعتمادًا على إصدار البرنامج الضار: إما في المجلد الرئيسي للمستخدم ، أو في دليل عمل البرنامج الضار ، أو مجلد باسم اللعبة الأصلية.

صنف الباحثون هذه المتغيرات الـ 16 المميزة إلى أربع عائلات رئيسية: A و B و C و D ، بناءً على سماتها المميزة. تحتوي حوالي 30٪ من العينات من العائلات A و B و D على سلاسل تستهدف macOS 14 Sonoma القادم. يشير هذا إلى أن مؤلفي البرامج الضارة يستعدون بالفعل لإصدار نظام تشغيل سطح المكتب القادم من Apple ، مما يضمن توافق Realst وأدائه الأمثل.

نظرًا لهذا التهديد ، يُنصح مستخدمو macOS بتوخي الحذر مع ألعاب blockchain ، حيث يستغل موزعو Realst قنوات Discord وحسابات Twitter التي تم التحقق منها لخلق وهم خادع للشرعية. يمكن أن يساعد توخي اليقظة والتحقق من مصادر تنزيلات الألعاب في الحماية من مثل هذه البرامج المهددة.