بدافزار Realst Mac

بدافزار جدید مک به نام Realst به عنوان بخشی از یک کمپین حمله گسترده که به طور خاص رایانه های اپل را هدف قرار می دهد، ظهور کرده است. نکته نگران‌کننده‌تر این است که برخی از آخرین نسخه‌های آن برای بهره‌برداری از macOS 14 Sonoma، سیستم‌عاملی که هنوز در مرحله توسعه است، سازگار شده‌اند.

توزیع این بدافزار به کاربران macOS محدود نمی شود، زیرا دستگاه های ویندوزی را نیز هدف قرار می دهد. مهاجمان با حیله گری بدافزار را به عنوان بازی های بلاک چین جعلی پنهان می کنند و نام هایی مانند Brawl Earth، WildWorld، Dawnland، Destruction، Evolion، Pearl، Olymp of Reptiles و SaintLegend به آن ها می دهند.

برای فریب دادن قربانیان به دانلود نرم افزار تهدیدآمیز، این بازی های جعلی به شدت در رسانه های اجتماعی تبلیغ می شوند. عوامل تهدید از پیام های مستقیم برای به اشتراک گذاشتن کدهای دسترسی مورد نیاز برای دانلود کلاینت بازی جعلی از وب سایت های مرتبط استفاده می کنند. با استفاده از این کدهای دسترسی، مهاجمان می توانند اهداف خود را با دقت انتخاب کنند و از شناسایی توسط محققان امنیتی که تلاش می کنند فعالیت های ناامن آنها را کشف کنند، اجتناب کنند.

نصب‌کننده‌های بازی، دستگاه‌های قربانیان را با بدافزار جمع‌آوری اطلاعات آلوده می‌کنند. این تهدیدها در جمع‌آوری داده‌های حساس از مرورگرهای وب قربانی و برنامه‌های کیف پول ارزهای دیجیتال تخصص دارند و اطلاعات جمع‌آوری‌شده را مستقیماً برای عوامل تهدید ارسال می‌کنند.

محققان در درجه اول بر روی نسخه‌های macOS بدافزار Realst تمرکز کردند و حداقل 16 نوع را با تفاوت‌های قابل توجه بین آنها کشف کردند که نشان‌دهنده روند توسعه مداوم و سریع است.

زنجیره حمله تهدید سرقت کننده Realst macOS

هنگامی که کاربران بازی جعلی را از وب سایت عامل تهدید دانلود می کنند، با بدافزارهای مختلفی بر اساس سیستم عامل خود – ویندوز یا macOS – مواجه خواهند شد. برای کاربران ویندوز، بدافزار رایجی که توزیع می شود RedLine Stealer است. با این حال، گاهی اوقات، انواع بدافزارهای دیگر مانند Raccoon Stealer و AsyncRAT نیز ممکن است درگیر شوند.

از سوی دیگر، کاربران مک به بدافزار سرقت اطلاعات Realst آلوده خواهند شد که به عنوان نصب کننده های PKG یا فایل های دیسک DMG پنهان شده است. این فایل‌ها ادعا می‌کنند که حاوی محتوای بازی هستند، اما در واقع، فقط فایل‌های ناامن Mach-O را بدون بازی‌های واقعی یا نرم‌افزار قانونی در خود جای می‌دهند.

در میان مؤلفه‌های مخرب، فایل «game.py» به عنوان سرقت اطلاعات فایرفاکس بین پلتفرم عمل می‌کند. در همان زمان، 'installer.py' به عنوان 'chainbreaker' برچسب گذاری شده است، که برای استخراج رمزهای عبور، کلیدها و گواهی ها از پایگاه داده زنجیره کلید macOS طراحی شده است.

برای فرار از تشخیص توسط ابزارهای امنیتی، برخی از نمونه‌ها با استفاده از شناسه‌های برنامه‌نویس اپل معتبر (اما اکنون باطل شده) یا امضاهای موقت کدگذاری شدند. این تاکتیک به بدافزار اجازه می دهد تا اقدامات امنیتی را پشت سر بگذارد و پنهان بماند.

چندین نسخه بدافزار Realst در حملات کشف شد

تاکنون 16 نوع متمایز از Realst شناسایی شده است. گرچه شباهت‌های قابل توجهی در ساختار و عملکرد دارند، انواع مختلف از مجموعه‌های فراخوانی API متفاوتی استفاده می‌کنند. صرف نظر از این، این بدافزار به طور خاص مرورگرهایی مانند فایرفاکس، کروم، اپرا، بریو، ویوالدی و اپلیکیشن تلگرام را هدف قرار می دهد. به نظر می رسد که هیچ یک از نمونه های Realst تجزیه و تحلیل شده Safari را هدف قرار نمی دهد.

اکثر این گونه ها با استفاده از تکنیک های جعل osascript و AppleScript سعی می کنند رمز عبور کاربر را به دست آورند. علاوه بر این، آنها بررسی های اولیه را انجام می دهند تا مطمئن شوند که دستگاه میزبان یک ماشین مجازی نیست و از sysctl -n hw.model استفاده می کند. سپس داده‌های جمع‌آوری‌شده در پوشه‌ای به نام «داده» ذخیره می‌شود که بسته به نسخه بدافزار در مکان‌های مختلفی یافت می‌شود: یا در پوشه اصلی کاربر، فهرست کار بدافزار یا پوشه‌ای به نام بازی والد.

محققان این 16 نوع متمایز را بر اساس صفات متمایزشان در چهار خانواده اصلی دسته بندی کرده اند: A، B، C و D. تقریباً 30 درصد از نمونه‌های خانواده‌های A، B و D شامل رشته‌هایی هستند که macOS 14 Sonoma آینده را هدف قرار می‌دهند. این نشان می‌دهد که نویسندگان بدافزار در حال آماده‌سازی برای نسخه آتی سیستم‌عامل دسکتاپ اپل هستند و از سازگاری Realst و عملکرد بهینه اطمینان می‌دهند.

با توجه به این تهدید، به کاربران macOS توصیه می‌شود در مورد بازی‌های بلاک چین احتیاط کنند، زیرا توزیع‌کنندگان Realst از کانال‌های Discord و حساب‌های توییتر «تأیید شده» برای ایجاد یک توهم فریبنده مشروعیت سوء استفاده می‌کنند. هوشیاری و تأیید منابع دانلود بازی می تواند به محافظت در برابر چنین نرم افزارهای تهدیدکننده ای کمک کند.