Realst Mac pahavara

Uus Maci pahavara nimega Realst on ilmunud osana ulatuslikust rünnakukampaaniast, mis on suunatud spetsiaalselt Apple'i arvutitele. Veelgi murettekitavam on see, et mõned selle uusimad versioonid on kohandatud MacOS 14 Sonoma kasutamiseks, mis on veel arendusjärgus operatsioonisüsteem.

Selle pahavara levitamine ei piirdu ainult macOS-i kasutajatega, kuna see sihib ka Windowsi seadmeid. Ründajad maskeerivad pahavara kavalalt võltsplokiahelamängudeks, pannes neile nimed nagu Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles ja SaintLegend.

Ohvrite meelitamiseks ähvardavat tarkvara alla laadima, reklaamitakse neid võltsmänge sotsiaalmeedias tugevalt. Ohutegurid kasutavad võltsmängukliendi seotud veebisaitidelt allalaadimiseks vajalike pääsukoodide jagamiseks otsesõnumeid. Neid pääsukoode kasutades saavad ründajad hoolikalt valida oma sihtmärgid ja vältida nende avastamist turvateadlaste poolt, kes üritavad paljastada nende ohtlikke tegevusi.

Oletatavad mängude installijad nakatavad ohvrite seadmeid teavet koguva pahavaraga. Ohud on spetsialiseerunud tundlike andmete kogumisele ohvri veebibrauseritest ja krüptoraha rahakotirakendustest, saates kogutud info otse ohus osalejatele.

Teadlased keskendusid peamiselt Realsti pahavara macOS-i versioonidele ja avastasid vähemalt 16 varianti, millel on märkimisväärsed erinevused, mis viitavad käimasolevale ja kiirele arendusprotsessile.

Realst macOS-i varguse ohu rünnakuahel

Kui kasutajad laadivad alla võltsmängu ohutegija veebisaidilt, puutuvad nad kokku erineva pahavaraga, mis põhineb nende operatsioonisüsteemil – kas Windowsil või macOS-il. Windowsi kasutajate jaoks on levinud pahavara RedLine Stealer . Kuid mõnikord võivad kaasatud olla ka muud pahavara variandid, nagu Raccoon Stealer ja AsyncRAT .

Teisest küljest nakatuvad Maci kasutajad Realsti infovarastava pahavaraga, mis on maskeeritud PKG installeriteks või DMG-kettafailideks. Need failid väidavad, et sisaldavad mängusisu, kuid tegelikult sisaldavad ainult ohtlikke Mach-O faile, millel pole tegelikke mänge ega seaduslikku tarkvara.

Pahatahtlike komponentide hulgas toimib fail „game.py” platvormideülese Firefoxi infovarastina. Samal ajal on „installer.py” märgistatud kui „chainbreaker”, mis on loodud paroolide, võtmete ja sertifikaatide eraldamiseks macOS-i võtmehoidja andmebaasist.

Turvatööriistade tuvastamisest kõrvalehoidmiseks kujundati mõned näidised varem kehtivate (kuid nüüdseks tühistatud) Apple'i arendaja ID-de või ad-hoc-allkirjade abil. See taktika võimaldab pahavaral turvameetmetest mööda minna ja varjatuks jääda.

Rünnakute käigus avastati arvukalt Realst'i pahavara versioone

Siiani on tuvastatud 16 erinevat Realsti varianti. Ehkki neil on struktuuris ja funktsioonis olulisi sarnasusi, kasutavad variandid erinevaid API-kõnede komplekte. Sellest hoolimata sihib pahavara konkreetselt brausereid, nagu Firefox, Chrome, Opera, Brave, Vivaldi ja rakendus Telegram. Näib, et ükski analüüsitud Realsti proovidest ei näi olevat suunatud Safarile.

Enamik neist variantidest üritab hankida kasutaja parooli osascripti ja AppleScripti võltsimistehnikate abil. Lisaks viivad nad läbi põhilisi kontrolle tagamaks, et hostseade pole virtuaalne masin, kasutades mudelit sysctl -n hw.model. Seejärel salvestatakse kogutud andmed kausta nimega 'data', mida võib olenevalt pahavara versioonist leida erinevatest kohtadest: kas kasutaja kodukaustas, pahavara töökataloogis või emamängu järgi nimetatud kaustas.

Teadlased on liigitanud need 16 erinevat varianti nende eristavate tunnuste põhjal nelja põhiperekonda: A, B, C ja D. Ligikaudu 30% A-, B- ja D-perekondade proovidest sisaldavad stringe, mis sihivad eelseisvat macOS 14 Sonoma. See näitab, et pahavara autorid valmistuvad juba Apple'i eelseisvaks töölaua OS-i väljalaseks, tagades Realsti ühilduvuse ja optimaalse toimimise.

Arvestades seda ohtu, soovitatakse macOS-i kasutajatel olla plokiahelamängudega ettevaatlik, kuna Realsti levitajad kasutavad ära Discordi kanaleid ja "kinnitatud" Twitteri kontosid, et luua petlik illusioon legitiimsusest. Valvsus ja mängude allalaadimise allikate kontrollimine aitab kaitsta sellise ähvardava tarkvara eest.