Realst Mac Malware

En ny Mac-malware ved navn Realst er dukket op som en del af en massiv angrebskampagne, der specifikt er rettet mod Apple-computere. Hvad der er endnu mere bekymrende er, at nogle af dets seneste versioner er blevet tilpasset til at udnytte macOS 14 Sonoma, et operativsystem, der stadig er i udviklingsstadiet.

Distributionen af denne malware er ikke begrænset til macOS-brugere, da den også er rettet mod Windows-enheder. Angriberne forklæder på snedig vis malwaren som falske blockchain-spil og giver dem navne som Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles og SaintLegend.

For at lokke ofre til at downloade den truende software er disse falske spil stærkt promoveret på sociale medier. Trusselsaktørerne bruger direkte beskeder til at dele adgangskoder, der kræves for at downloade den falske spilklient fra tilknyttede websteder. Ved at bruge disse adgangskoder kan angriberne omhyggeligt udvælge deres mål og undgå opdagelse af sikkerhedsforskere, der forsøger at afdække deres usikre aktiviteter.

De formodede spilinstallatører inficerer ofrenes enheder med informationsindsamlende malware. Truslerne har specialiseret sig i at indsamle følsomme data fra ofrets webbrowsere og cryptocurrency wallet-applikationer og sende de indsamlede oplysninger direkte til trusselsaktørerne.

Forskerne fokuserede primært på macOS-versionerne af Realst malware og opdagede mindst 16 varianter med bemærkelsesværdige forskelle mellem dem, hvilket indikerer en igangværende og hurtig udviklingsproces.

Attack Chain of the Realst macOS Stealer Threat

Når brugere downloader det falske spil fra trusselsaktørens hjemmeside, vil de støde på forskellig malware baseret på deres operativsystem – enten Windows eller macOS. For Windows-brugere er den almindelige malware, der distribueres , RedLine Stealer . Men til tider kan andre malware-varianter som Raccoon Stealer og AsyncRAT også være involveret.

På den anden side vil Mac-brugere blive inficeret med Realst info-stjælende malware, som er forklædt som PKG-installationsprogrammer eller DMG-diskfiler. Disse filer hævder at indeholde spilindhold, men i virkeligheden rummer de kun usikre Mach-O-filer uden egentlige spil eller legitim software.

Blandt de ondsindede komponenter fungerer 'game.py'-filen som en Firefox infostealer på tværs af platforme. Samtidig er 'installer.py' mærket som 'chainbreaker' designet til at udtrække adgangskoder, nøgler og certifikater fra macOS nøgleringsdatabasen.

For at undgå opdagelse med sikkerhedsværktøjer blev nogle prøver samdesignet ved hjælp af tidligere gyldige (men nu tilbagekaldte) Apple-udvikler-id'er eller ad-hoc-signaturer. Denne taktik gør det muligt for malware at glide forbi sikkerhedsforanstaltninger og forblive skjult.

Talrige Realst Malware-versioner afsløret i angreb

Indtil videre er 16 forskellige varianter af Realst blevet identificeret. Selvom de deler betydelige ligheder i struktur og funktion, anvender varianterne forskellige API-kaldssæt. Uanset hvad er malwaren specifikt rettet mod browsere som Firefox, Chrome, Opera, Brave, Vivaldi og Telegram-appen. Det ser ud til, at ingen af de analyserede Realst-prøver ser ud til at målrette mod Safari.

De fleste af disse varianter forsøger at få brugerens adgangskode ved at bruge osascript og AppleScript spoofing-teknikker. Derudover udfører de grundlæggende kontroller for at sikre, at værtsenheden ikke er en virtuel maskine, ved at anvende sysctl -n hw.model. De indsamlede data gemmes derefter i en mappe med navnet 'data', som kan findes forskellige steder afhængigt af malwareversionen: enten i brugerens hjemmemappe, malwarens arbejdsmappe eller en mappe opkaldt efter forældrespillet.

Forskere har kategoriseret disse 16 forskellige varianter i fire hovedfamilier: A, B, C og D, baseret på deres kendetegn. Cirka 30 % af prøverne fra familie A, B og D indeholder strenge, der er målrettet mod den kommende macOS 14 Sonoma. Dette indikerer, at malware-forfatterne allerede forbereder sig på Apples kommende desktop OS-udgivelse, hvilket sikrer Realsts kompatibilitet og optimale funktion.

I betragtning af denne trussel rådes macOS-brugere til at udvise forsigtighed med blockchain-spil, da distributørerne af Realst udnytter Discord-kanaler og 'verificerede' Twitter-konti til at skabe en vildledende illusion om legitimitet. At være på vagt og verificere kilderne til spildownloads kan hjælpe med at beskytte mod sådan truende software.