Κακόβουλο λογισμικό Realst Mac

Ένα νέο κακόβουλο λογισμικό Mac με το όνομα Realst εμφανίστηκε ως μέρος μιας μαζικής εκστρατείας επίθεσης που στοχεύει ειδικά τους υπολογιστές της Apple. Αυτό που είναι ακόμη πιο ανησυχητικό είναι ότι ορισμένες από τις τελευταίες εκδόσεις του έχουν προσαρμοστεί για να εκμεταλλεύονται το macOS 14 Sonoma, ένα λειτουργικό σύστημα που βρίσκεται ακόμα σε στάδιο ανάπτυξης.

Η διανομή αυτού του κακόβουλου λογισμικού δεν περιορίζεται στους χρήστες macOS, καθώς στοχεύει και συσκευές Windows. Οι εισβολείς συγκαλύπτουν με πονηριά το κακόβουλο λογισμικό ως ψεύτικα παιχνίδια blockchain, δίνοντάς τους ονόματα όπως Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles και SaintLegend.

Για να παρασύρουν τα θύματα να κατεβάσουν το απειλητικό λογισμικό, αυτά τα ψεύτικα παιχνίδια προωθούνται σε μεγάλο βαθμό στα μέσα κοινωνικής δικτύωσης. Οι φορείς απειλών χρησιμοποιούν απευθείας μηνύματα για να μοιράζονται τους κωδικούς πρόσβασης που απαιτούνται για τη λήψη του πλαστού προγράμματος-πελάτη του παιχνιδιού από σχετικούς ιστότοπους. Χρησιμοποιώντας αυτούς τους κωδικούς πρόσβασης, οι εισβολείς μπορούν να επιλέξουν προσεκτικά τους στόχους τους και να αποφύγουν τον εντοπισμό από τους ερευνητές ασφαλείας που προσπαθούν να αποκαλύψουν τις μη ασφαλείς δραστηριότητές τους.

Τα υποτιθέμενα προγράμματα εγκατάστασης παιχνιδιών μολύνουν τις συσκευές των θυμάτων με κακόβουλο λογισμικό συλλογής πληροφοριών. Οι απειλές ειδικεύονται στη συλλογή ευαίσθητων δεδομένων από τα προγράμματα περιήγησης Ιστού του θύματος και τις εφαρμογές πορτοφολιού κρυπτονομισμάτων, στέλνοντας τις πληροφορίες που συλλέγονται απευθείας στους φορείς απειλών.

Οι ερευνητές εστίασαν κυρίως στις εκδόσεις macOS του κακόβουλου λογισμικού Realst και ανακάλυψαν τουλάχιστον 16 παραλλαγές με αξιοσημείωτες διαφορές μεταξύ τους, υποδεικνύοντας μια συνεχή και γρήγορη διαδικασία ανάπτυξης.

Αλυσίδα επίθεσης του Realst macOS Stealer Threat

Όταν οι χρήστες κατεβάζουν το ψεύτικο παιχνίδι από τον ιστότοπο του ηθοποιού απειλών, θα συναντήσουν διαφορετικό κακόβουλο λογισμικό με βάση το λειτουργικό τους σύστημα – είτε Windows είτε macOS. Για χρήστες Windows, το κοινό κακόβουλο λογισμικό που διανέμεται είναι το RedLine Stealer . Ωστόσο, κατά καιρούς, ενδέχεται να εμπλέκονται και άλλες παραλλαγές κακόβουλου λογισμικού όπως το Raccoon Stealer και το AsyncRAT .

Από την άλλη πλευρά, οι χρήστες Mac θα μολυνθούν με το κακόβουλο λογισμικό Realst info-stealing, το οποίο είναι μεταμφιεσμένο ως προγράμματα εγκατάστασης PKG ή αρχεία δίσκου DMG. Αυτά τα αρχεία ισχυρίζονται ότι περιέχουν περιεχόμενο παιχνιδιού, αλλά, στην πραγματικότητα, φιλοξενούν μόνο μη ασφαλή αρχεία Mach-O χωρίς πραγματικά παιχνίδια ή νόμιμο λογισμικό.

Μεταξύ των κακόβουλων στοιχείων, το αρχείο 'game.py' χρησιμεύει ως ένα πρόγραμμα κλοπής πληροφοριών Firefox μεταξύ πλατφορμών. Ταυτόχρονα, το "installer.py" χαρακτηρίζεται ως "chainbreaker", που έχει σχεδιαστεί για την εξαγωγή κωδικών πρόσβασης, κλειδιών και πιστοποιητικών από τη βάση δεδομένων του macOS keychain.

Προκειμένου να αποφευχθεί ο εντοπισμός από εργαλεία ασφαλείας, ορισμένα δείγματα κωδικοποιήθηκαν χρησιμοποιώντας προηγουμένως έγκυρα (αλλά τώρα ανακληθέντα) αναγνωριστικά προγραμματιστή Apple ή υπογραφές ad-hoc. Αυτή η τακτική επιτρέπει στο κακόβουλο λογισμικό να ξεφύγει από τα μέτρα ασφαλείας και να παραμείνει κρυφό.

Πολυάριθμες εκδόσεις Realst Malware που αποκαλύφθηκαν στις επιθέσεις

Μέχρι στιγμής, έχουν εντοπιστεί 16 διαφορετικές παραλλαγές του Realst. Αν και μοιράζονται σημαντικές ομοιότητες στη δομή και τη λειτουργία, οι παραλλαγές χρησιμοποιούν διαφορετικά σύνολα κλήσεων API. Ανεξάρτητα από αυτό, το κακόβουλο λογισμικό στοχεύει συγκεκριμένα προγράμματα περιήγησης όπως Firefox, Chrome, Opera, Brave, Vivaldi και η εφαρμογή Telegram. Φαίνεται ότι κανένα από τα δείγματα Realst που αναλύθηκαν δεν φαίνεται να στοχεύει το Safari.

Οι περισσότερες από αυτές τις παραλλαγές προσπαθούν να αποκτήσουν τον κωδικό πρόσβασης του χρήστη χρησιμοποιώντας τεχνικές πλαστογράφησης osascript και AppleScript. Επιπλέον, εκτελούν βασικούς ελέγχους για να διασφαλίσουν ότι η κεντρική συσκευή δεν είναι εικονική μηχανή, χρησιμοποιώντας το sysctl -n hw.model. Στη συνέχεια, τα δεδομένα που συλλέγονται αποθηκεύονται σε ένα φάκελο με το όνομα "data", ο οποίος μπορεί να βρεθεί σε διάφορες τοποθεσίες ανάλογα με την έκδοση κακόβουλου λογισμικού: είτε στον αρχικό φάκελο του χρήστη, στον κατάλογο εργασίας του κακόβουλου λογισμικού ή σε έναν φάκελο με το όνομα του γονικού παιχνιδιού.

Οι ερευνητές έχουν κατηγοριοποιήσει αυτές τις 16 διαφορετικές παραλλαγές σε τέσσερις κύριες οικογένειες: A, B, C και D, με βάση τα διακριτικά τους γνωρίσματα. Περίπου το 30% των δειγμάτων από τις οικογένειες A, B και D περιέχουν συμβολοσειρές που στοχεύουν το επερχόμενο macOS 14 Sonoma. Αυτό υποδηλώνει ότι οι δημιουργοί κακόβουλου λογισμικού προετοιμάζονται ήδη για την επικείμενη κυκλοφορία του λειτουργικού συστήματος επιτραπέζιου υπολογιστή της Apple, διασφαλίζοντας τη συμβατότητα και τη βέλτιστη λειτουργία του Realst.

Δεδομένης αυτής της απειλής, συνιστάται στους χρήστες macOS να είναι προσεκτικοί με τα παιχνίδια blockchain, καθώς οι διανομείς της Realst εκμεταλλεύονται τα κανάλια Discord και «επαληθεύουν» λογαριασμούς Twitter για να δημιουργήσουν μια παραπλανητική ψευδαίσθηση νομιμότητας. Η επαγρύπνηση και η επαλήθευση των πηγών λήψης παιχνιδιών μπορεί να βοηθήσει στην προστασία από τέτοιου είδους απειλητικό λογισμικό.