Realst Mac Malware
Un nou programari maliciós per a Mac anomenat Realst ha sorgit com a part d'una campanya d'atac massiva dirigida específicament als ordinadors d'Apple. El que és encara més preocupant és que algunes de les seves últimes versions s'han adaptat per explotar macOS 14 Sonoma, un sistema operatiu encara en fase de desenvolupament.
La distribució d'aquest programari maliciós no es limita als usuaris de macOS, ja que també s'adreça a dispositius Windows. Els atacants estan disfressant el programari maliciós com a jocs de cadena de blocs falsos, donant-los noms com Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles i SaintLegend.
Per atraure les víctimes a descarregar el programari amenaçador, aquests jocs falsos es promocionen molt a les xarxes socials. Els actors de l'amenaça utilitzen missatges directes per compartir els codis d'accés necessaris per descarregar el client de joc fals dels llocs web associats. Mitjançant l'ús d'aquests codis d'accés, els atacants poden seleccionar acuradament els seus objectius i evitar la detecció dels investigadors de seguretat que intenten descobrir les seves activitats insegures.
Els suposats instal·ladors de jocs infecten els dispositius de les víctimes amb programari maliciós que recull informació. Les amenaces s'especialitzen en la recollida de dades sensibles dels navegadors web de la víctima i les aplicacions de cartera de criptomoneda, enviant la informació recollida directament als actors de l'amenaça.
Els investigadors es van centrar principalment en les versions de macOS del programari maliciós Realst i van descobrir almenys 16 variants amb diferències notables entre elles, cosa que indica un procés de desenvolupament en curs i ràpid.
Cadena d'atac de l'amenaça de robatori de macOS Realst
Quan els usuaris descarreguen el joc fals des del lloc web de l'actor de l'amenaça, trobaran programari maliciós diferent segons el seu sistema operatiu: Windows o macOS. Per als usuaris de Windows, el programari maliciós comú que es distribueix és RedLine Stealer . Tanmateix, de vegades, també podrien estar implicades altres variants de programari maliciós com Raccoon Stealer i AsyncRAT .
D'altra banda, els usuaris de Mac s'infectaran amb el programari maliciós de robatori d'informació Realst, que es disfressa d'instal·ladors PKG o fitxers de disc DMG. Aquests fitxers afirmen que contenen contingut del joc, però, en realitat, només contenen fitxers Mach-O insegurs sense jocs reals ni programari legítim.
Entre els components maliciosos, el fitxer "game.py" serveix com a robatori d'informació de Firefox multiplataforma. Al mateix temps, "installer.py" s'etiqueta com a "rompecadena", dissenyat per extreure contrasenyes, claus i certificats de la base de dades del clauer de macOS.
Per evitar la detecció per part de les eines de seguretat, algunes mostres es van dissenyar conjuntament amb identificacions de desenvolupadors d'Apple o signatures ad-hoc anteriorment vàlides (però ara revocades). Aquesta tàctica permet que el programari maliciós superi les mesures de seguretat i romangui ocult.
Nombroses versions de programari maliciós realst descobertes en atacs
Fins ara, s'han identificat 16 variants diferents de Realst. Tot i que comparteixen similituds importants en estructura i funció, les variants utilitzen diferents conjunts de trucades API. Independentment, el programari maliciós s'adreça específicament a navegadors com Firefox, Chrome, Opera, Brave, Vivaldi i l'aplicació Telegram. Sembla que cap de les mostres de Realst analitzades sembla dirigir-se a Safari.
La majoria d'aquestes variants intenten obtenir la contrasenya de l'usuari utilitzant tècniques de suplantació d'osascript i AppleScript. A més, realitzen comprovacions bàsiques per assegurar-se que el dispositiu amfitrió no és una màquina virtual, utilitzant el sysctl -n hw.model. Les dades recollides s'emmagatzemen en una carpeta anomenada "dades", que es pot trobar en diverses ubicacions depenent de la versió del programari maliciós: ja sigui a la carpeta d'inici de l'usuari, al directori de treball del programari maliciós o en una carpeta que porta el nom del joc principal.
Els investigadors han classificat aquestes 16 variants diferents en quatre famílies principals: A, B, C i D, en funció dels seus trets distintius. Aproximadament el 30% de les mostres de les famílies A, B i D contenen cadenes dirigides al proper macOS 14 Sonoma. Això indica que els autors de programari maliciós ja s'estan preparant per al proper llançament del sistema operatiu d'escriptori d'Apple, assegurant la compatibilitat i el funcionament òptim de Realst.
Davant d'aquesta amenaça, es recomana als usuaris de macOS que tinguin precaució amb els jocs de cadena de blocs, ja que els distribuïdors de Realst exploten els canals de Discord i els comptes de Twitter "verificats" per crear una il·lusió enganyosa de legitimitat. Estar vigilant i verificar les fonts de descàrregues de jocs pot ajudar a protegir-se d'aquest programari amenaçador.
