بدافزار Realst Mac
بدافزار جدید مک به نام Realst به عنوان بخشی از یک کمپین حمله گسترده که به طور خاص رایانه های اپل را هدف قرار می دهد، ظهور کرده است. نکته نگرانکنندهتر این است که برخی از آخرین نسخههای آن برای بهرهبرداری از macOS 14 Sonoma، سیستمعاملی که هنوز در مرحله توسعه است، سازگار شدهاند.
توزیع این بدافزار به کاربران macOS محدود نمی شود، زیرا دستگاه های ویندوزی را نیز هدف قرار می دهد. مهاجمان با حیله گری بدافزار را به عنوان بازی های بلاک چین جعلی پنهان می کنند و نام هایی مانند Brawl Earth، WildWorld، Dawnland، Destruction، Evolion، Pearl، Olymp of Reptiles و SaintLegend به آن ها می دهند.
برای فریب دادن قربانیان به دانلود نرم افزار تهدیدآمیز، این بازی های جعلی به شدت در رسانه های اجتماعی تبلیغ می شوند. عوامل تهدید از پیام های مستقیم برای به اشتراک گذاشتن کدهای دسترسی مورد نیاز برای دانلود کلاینت بازی جعلی از وب سایت های مرتبط استفاده می کنند. با استفاده از این کدهای دسترسی، مهاجمان می توانند اهداف خود را با دقت انتخاب کنند و از شناسایی توسط محققان امنیتی که تلاش می کنند فعالیت های ناامن آنها را کشف کنند، اجتناب کنند.
نصبکنندههای بازی، دستگاههای قربانیان را با بدافزار جمعآوری اطلاعات آلوده میکنند. این تهدیدها در جمعآوری دادههای حساس از مرورگرهای وب قربانی و برنامههای کیف پول ارزهای دیجیتال تخصص دارند و اطلاعات جمعآوریشده را مستقیماً برای عوامل تهدید ارسال میکنند.
محققان در درجه اول بر روی نسخههای macOS بدافزار Realst تمرکز کردند و حداقل 16 نوع را با تفاوتهای قابل توجه بین آنها کشف کردند که نشاندهنده روند توسعه مداوم و سریع است.
زنجیره حمله تهدید سرقت کننده Realst macOS
هنگامی که کاربران بازی جعلی را از وب سایت عامل تهدید دانلود می کنند، با بدافزارهای مختلفی بر اساس سیستم عامل خود – ویندوز یا macOS – مواجه خواهند شد. برای کاربران ویندوز، بدافزار رایجی که توزیع می شود RedLine Stealer است. با این حال، گاهی اوقات، انواع بدافزارهای دیگر مانند Raccoon Stealer و AsyncRAT نیز ممکن است درگیر شوند.
از سوی دیگر، کاربران مک به بدافزار سرقت اطلاعات Realst آلوده خواهند شد که به عنوان نصب کننده های PKG یا فایل های دیسک DMG پنهان شده است. این فایلها ادعا میکنند که حاوی محتوای بازی هستند، اما در واقع، فقط فایلهای ناامن Mach-O را بدون بازیهای واقعی یا نرمافزار قانونی در خود جای میدهند.
در میان مؤلفههای مخرب، فایل «game.py» به عنوان سرقت اطلاعات فایرفاکس بین پلتفرم عمل میکند. در همان زمان، 'installer.py' به عنوان 'chainbreaker' برچسب گذاری شده است، که برای استخراج رمزهای عبور، کلیدها و گواهی ها از پایگاه داده زنجیره کلید macOS طراحی شده است.
برای فرار از تشخیص توسط ابزارهای امنیتی، برخی از نمونهها با استفاده از شناسههای برنامهنویس اپل معتبر (اما اکنون باطل شده) یا امضاهای موقت کدگذاری شدند. این تاکتیک به بدافزار اجازه می دهد تا اقدامات امنیتی را پشت سر بگذارد و پنهان بماند.
چندین نسخه بدافزار Realst در حملات کشف شد
تاکنون 16 نوع متمایز از Realst شناسایی شده است. گرچه شباهتهای قابل توجهی در ساختار و عملکرد دارند، انواع مختلف از مجموعههای فراخوانی API متفاوتی استفاده میکنند. صرف نظر از این، این بدافزار به طور خاص مرورگرهایی مانند فایرفاکس، کروم، اپرا، بریو، ویوالدی و اپلیکیشن تلگرام را هدف قرار می دهد. به نظر می رسد که هیچ یک از نمونه های Realst تجزیه و تحلیل شده Safari را هدف قرار نمی دهد.
اکثر این گونه ها با استفاده از تکنیک های جعل osascript و AppleScript سعی می کنند رمز عبور کاربر را به دست آورند. علاوه بر این، آنها بررسی های اولیه را انجام می دهند تا مطمئن شوند که دستگاه میزبان یک ماشین مجازی نیست و از sysctl -n hw.model استفاده می کند. سپس دادههای جمعآوریشده در پوشهای به نام «داده» ذخیره میشود که بسته به نسخه بدافزار در مکانهای مختلفی یافت میشود: یا در پوشه اصلی کاربر، فهرست کار بدافزار یا پوشهای به نام بازی والد.
محققان این 16 نوع متمایز را بر اساس صفات متمایزشان در چهار خانواده اصلی دسته بندی کرده اند: A، B، C و D. تقریباً 30 درصد از نمونههای خانوادههای A، B و D شامل رشتههایی هستند که macOS 14 Sonoma آینده را هدف قرار میدهند. این نشان میدهد که نویسندگان بدافزار در حال آمادهسازی برای نسخه آتی سیستمعامل دسکتاپ اپل هستند و از سازگاری Realst و عملکرد بهینه اطمینان میدهند.
با توجه به این تهدید، به کاربران macOS توصیه میشود در مورد بازیهای بلاک چین احتیاط کنند، زیرا توزیعکنندگان Realst از کانالهای Discord و حسابهای توییتر «تأیید شده» برای ایجاد یک توهم فریبنده مشروعیت سوء استفاده میکنند. هوشیاری و تأیید منابع دانلود بازی می تواند به محافظت در برابر چنین نرم افزارهای تهدیدکننده ای کمک کند.