Realst Mac Malware

Нов злонамерен софтуер за Mac, наречен Realst, се появи като част от кампания за масивна атака, насочена специално към компютрите на Apple. Още по-притеснителното е, че някои от най-новите му версии са адаптирани да използват macOS 14 Sonoma, операционна система, която все още е в етап на разработка.

Разпространението на този зловреден софтуер не е ограничено до потребителите на macOS, тъй като е насочен и към устройства с Windows. Нападателите умело прикриват зловреден софтуер като фалшиви блокчейн игри, давайки им имена като Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles и SaintLegend.

За да примамят жертвите да изтеглят заплашителния софтуер, тези фалшиви игри се популяризират силно в социалните медии. Актьорите на заплахите използват директни съобщения, за да споделят кодове за достъп, необходими за изтегляне на фалшив клиент на игра от свързани уебсайтове. Използвайки тези кодове за достъп, нападателите могат внимателно да избират своите цели и да избегнат откриване от изследователи по сигурността, които се опитват да разкрият техните опасни дейности.

Предполагаемите инсталатори на игри заразяват устройствата на жертвите със зловреден софтуер за събиране на информация. Заплахите са специализирани в събирането на чувствителни данни от уеб браузърите на жертвата и приложенията за портфейли с криптовалута, като изпращат събраната информация директно до участниците в заплахата.

Изследователите се фокусираха основно върху версиите на macOS на злонамерения софтуер Realst и откриха най-малко 16 варианта със забележими разлики между тях, което показва непрекъснат и бърз процес на разработка.

Верига от атаки на Realst macOS Stealer Threat

Когато потребителите изтеглят фалшивата игра от уебсайта на заплахата, те ще срещнат различен злонамерен софтуер, базиран на тяхната операционна система – Windows или macOS. За потребителите на Windows често срещаният злонамерен софтуер, който се разпространява, е RedLine Stealer . Понякога обаче могат да бъдат включени и други варианти на зловреден софтуер като Raccoon Stealer и AsyncRAT .

От друга страна, потребителите на Mac ще бъдат заразени със зловреден софтуер Realst за кражба на информация, който е маскиран като PKG инсталатори или DMG дискови файлове. Тези файлове твърдят, че съдържат игрово съдържание, но в действителност съдържат само опасни Mach-O файлове без реални игри или легитимен софтуер.

Сред злонамерените компоненти файлът „game.py“ служи като кросплатформен инфоскрадец на Firefox. В същото време „installer.py“ е обозначен като „chainbreaker“, предназначен да извлича пароли, ключове и сертификати от базата данни на macOS keychain.

За да се избегне откриването от инструменти за сигурност, някои проби бяха кодирани с помощта на предишни валидни (но сега отменени) идентификатори на разработчици на Apple или ad hoc подписи. Тази тактика позволява на злонамерения софтуер да премине през мерките за сигурност и да остане скрит.

Многобройни версии на Realst злонамерен софтуер, разкрити при атаки

Досега са идентифицирани 16 различни варианта на Realst. Въпреки че споделят значителни прилики в структурата и функцията, вариантите използват различни набори за извикване на API. Независимо от това, зловредният софтуер е насочен специално към браузъри като Firefox, Chrome, Opera, Brave, Vivaldi и приложението Telegram. Изглежда, че нито една от анализираните проби на Realst изглежда не е насочена към Safari.

Повечето от тези варианти се опитват да получат паролата на потребителя, като използват техники за подправяне на osascript и AppleScript. Освен това те извършват основни проверки, за да гарантират, че хост устройството не е виртуална машина, използвайки sysctl -n hw.model. След това събраните данни се съхраняват в папка, наречена „данни“, която може да бъде намерена на различни места в зависимост от версията на зловреден софтуер: или в домашната папка на потребителя, работната директория на зловреден софтуер или папка, наречена на родителската игра.

Изследователите са категоризирали тези 16 различни варианта в четири основни семейства: A, B, C и D, въз основа на техните отличителни черти. Приблизително 30% от пробите от семейства A, B и D съдържат низове, които са насочени към предстоящия macOS 14 Sonoma. Това показва, че авторите на зловреден софтуер вече се подготвят за предстоящото издание на настолната операционна система на Apple, гарантирайки съвместимостта и оптималното функциониране на Realst.

Като се има предвид тази заплаха, потребителите на macOS се съветват да бъдат внимателни с блокчейн игрите, тъй като дистрибуторите на Realst използват каналите на Discord и „потвърдените“ акаунти в Twitter, за да създадат измамна илюзия за легитимност. Да бъдете бдителни и да проверявате източниците на изтегляния на игри може да помогне за защита срещу такъв заплашителен софтуер.