Realst Mac Malware

Nový malware pro Mac s názvem Realst se objevil jako součást masivní útočné kampaně zaměřené konkrétně na počítače Apple. Ještě znepokojivější je, že některé z jeho nejnovějších verzí byly upraveny tak, aby využívaly macOS 14 Sonoma, operační systém, který je stále ve fázi vývoje.

Distribuce tohoto malwaru není omezena na uživatele macOS, protože cílí i na zařízení s Windows. Útočníci lstivě maskují malware jako falešné blockchainové hry a dávají jim jména jako Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles a SaintLegend.

Aby nalákali oběti ke stažení ohrožujícího softwaru, jsou tyto falešné hry silně propagovány na sociálních sítích. Aktéři hrozby využívají přímé zprávy ke sdílení přístupových kódů potřebných pro stažení falešného herního klienta z přidružených webových stránek. Pomocí těchto přístupových kódů mohou útočníci pečlivě vybrat své cíle a vyhnout se odhalení bezpečnostními výzkumníky, kteří se pokoušejí odhalit jejich nebezpečné aktivity.

Předpokládaní instalátoři her infikují zařízení obětí malwarem shromažďujícím informace. Hrozby se specializují na shromažďování citlivých dat z webových prohlížečů obětí a aplikací kryptoměnových peněženek, přičemž shromážděné informace posílají přímo aktérům hrozeb.

Výzkumníci se primárně zaměřili na verze macOS malwaru Realst a objevili nejméně 16 variant s výraznými rozdíly mezi nimi, což naznačuje probíhající a rychlý vývojový proces.

Attack Chain of the Realst macOS Stealer Threat

Když si uživatelé stáhnou falešnou hru z webu aktéra hrozby, setkají se s různým malwarem podle jejich operačního systému – buď Windows nebo macOS. Pro uživatele Windows je běžným distribuovaným malwarem RedLine Stealer . Někdy však mohou být zapojeny i další varianty malwaru, jako je Raccoon Stealer a AsyncRAT .

Na druhou stranu uživatelé počítačů Mac budou infikováni malwarem Realst info-stealing, který se maskuje jako instalační programy PKG nebo soubory na disku DMG. Tyto soubory tvrdí, že obsahují herní obsah, ale ve skutečnosti obsahují pouze nebezpečné soubory Mach-O bez skutečných her nebo legitimního softwaru.

Mezi škodlivými komponentami je soubor 'game.py', který slouží jako multiplatformní Firefox infostealer. Zároveň je 'installer.py' označen jako 'chainbreaker', určený k extrahování hesel, klíčů a certifikátů z databáze klíčenek macOS.

Aby se zabránilo detekci pomocí bezpečnostních nástrojů, byly některé vzorky navrženy společně s dříve platnými (ale nyní zrušenými) Apple Developer ID nebo ad-hoc podpisy. Tato taktika umožňuje malwaru proklouznout za bezpečnostní opatření a zůstat skrytý.

Mnoho skutečných verzí malwaru odhalených při útocích

Dosud bylo identifikováno 16 různých variant Realst. Ačkoli sdílejí významné podobnosti ve struktuře a funkci, varianty využívají různé sady volání API. Bez ohledu na to se malware konkrétně zaměřuje na prohlížeče jako Firefox, Chrome, Opera, Brave, Vivaldi a aplikace Telegram. Zdá se, že žádný z analyzovaných vzorků Realst zřejmě necílí na Safari.

Většina z těchto variant se pokouší získat heslo uživatele pomocí technik spoofingu osascript a AppleScript. Kromě toho provádějí základní kontroly, aby se ujistili, že hostitelské zařízení není virtuální stroj, a to pomocí sysctl -n hw.model. Shromážděná data jsou pak uložena ve složce s názvem „data“, kterou lze nalézt na různých místech v závislosti na verzi malwaru: buď v domovské složce uživatele, v pracovním adresáři malwaru nebo ve složce pojmenované po mateřské hře.

Vědci kategorizovali těchto 16 odlišných variant do čtyř hlavních rodin: A, B, C a D na základě jejich rozlišovacích znaků. Přibližně 30 % vzorků z rodin A, B a D obsahuje řetězce, které cílí na nadcházející macOS 14 Sonoma. To naznačuje, že autoři malwaru se již připravují na nadcházející vydání operačního systému Apple pro stolní počítače, což zajišťuje kompatibilitu a optimální fungování Realstu.

Vzhledem k této hrozbě se uživatelům macOS doporučuje, aby byli s blockchainovými hrami opatrní, protože distributoři Realst využívají kanály Discord a „ověřovali“ účty na Twitteru, aby vytvořili klamnou iluzi legitimity. Být ostražitý a ověřovat zdroje stahování her může pomoci chránit se před takovým ohrožujícím softwarem.