Realst Mac-haittaohjelma

Uusi Realst-niminen Mac-haittaohjelma on ilmaantunut osaksi massiivista hyökkäyskampanjaa, joka kohdistuu erityisesti Applen tietokoneisiin. Vielä huolestuttavampaa on, että jotkin sen uusimmista versioista on mukautettu hyödyntämään macOS 14 Sonoma -käyttöjärjestelmää, joka on vielä kehitysvaiheessa.

Tämän haittaohjelman jakelu ei rajoitu macOS-käyttäjiin, vaan se kohdistuu myös Windows-laitteisiin. Hyökkääjät naamioivat haittaohjelman ovelasti väärennetyiksi lohkoketjupeleiksi ja antavat niille nimiä kuten Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles ja SaintLegend.

Uhrien houkuttelemiseksi lataamaan uhkaavaa ohjelmistoa näitä väärennettyjä pelejä mainostetaan voimakkaasti sosiaalisessa mediassa. Uhkatoimijat käyttävät suoria viestejä jakaakseen pääsykoodeja, joita tarvitaan väärennetyn peliohjelman lataamiseen liittyviltä verkkosivustoilta. Käyttämällä näitä pääsykoodeja hyökkääjät voivat valita kohteensa huolellisesti ja välttää tietoturvatutkijat havaitsemasta heidän vaarallisia toimiaan.

Oletetut peliasentajat saastuttavat uhrien laitteet tietoa keräävillä haittaohjelmilla. Uhkat ovat erikoistuneet keräämään arkaluontoisia tietoja uhrin verkkoselaimista ja kryptovaluuttalompakko-sovelluksista ja lähettämään kerätyt tiedot suoraan uhkatoimijoille.

Tutkijat keskittyivät ensisijaisesti Realst-haittaohjelman macOS-versioihin ja löysivät ainakin 16 muunnelmaa, joiden välillä oli huomattavia eroja, mikä viittaa jatkuvaan ja nopeatempoiseen kehitysprosessiin.

Realst macOS-varkausuhan hyökkäysketju

Kun käyttäjät lataavat väärennetyn pelin uhkatekijän verkkosivustolta, he kohtaavat erilaisia haittaohjelmia käyttöjärjestelmänsä mukaan – joko Windows tai macOS. Windows-käyttäjille yleisin levitettävä haittaohjelma on RedLine Stealer . Joskus voi kuitenkin olla mukana myös muita haittaohjelmaversioita, kuten Raccoon Stealer ja AsyncRAT .

Toisaalta Mac-käyttäjät saavat tartunnan Realst-tietovarastuksella, joka on naamioitu PKG-asennusohjelmiksi tai DMG-levytiedostoiksi. Nämä tiedostot väittävät sisältävän pelisisältöä, mutta todellisuudessa sisältävät vain vaarallisia Mach-O-tiedostoja ilman varsinaisia pelejä tai laillisia ohjelmistoja.

Haitallisten osien joukossa "game.py"-tiedosto toimii Firefoxin tietovarastajana. Samaan aikaan "installer.py" on merkitty "chainbreakeriksi", joka on suunniteltu poimimaan salasanoja, avaimia ja varmenteita macOS-avainniputietokannasta.

Suojaustyökalujen havaitsemisen välttämiseksi jotkin näytteet suunniteltiin käyttämällä aiemmin voimassa olevia (mutta nyt peruutettuja) Apple Developer ID -tunnuksia tai ad-hoc-allekirjoituksia. Tämän taktiikan avulla haittaohjelmat voivat ohittaa turvatoimenpiteet ja pysyä piilossa.

Hyökkäyksissä paljastettu lukuisia Realst-haittaohjelmaversioita

Toistaiseksi Realstista on tunnistettu 16 erilaista muunnelmaa. Vaikka muunnelmissa on merkittäviä samankaltaisuuksia rakenteessa ja toiminnassa, ne käyttävät erilaisia API-kutsujoukkoja. Siitä huolimatta haittaohjelma kohdistuu erityisesti selaimiin, kuten Firefox, Chrome, Opera, Brave, Vivaldi ja Telegram-sovellus. Näyttää siltä, että mikään analysoiduista Realst-näytteistä ei näytä kohdistuvan Safariin.

Useimmat näistä versioista yrittävät saada käyttäjän salasanan käyttämällä osascript- ja AppleScript-huijaustekniikoita. Lisäksi he suorittavat perustarkistuksia varmistaakseen, että isäntälaite ei ole virtuaalikone, käyttämällä sysctl -n hw.model -mallia. Kerätyt tiedot tallennetaan sitten kansioon nimeltä 'data', joka löytyy eri paikoista haittaohjelmaversiosta riippuen: joko käyttäjän kotikansiosta, haittaohjelman työhakemistosta tai pääpelin mukaan nimetystä kansiosta.

Tutkijat ovat luokitelleet nämä 16 erilaista muunnelmaa neljään pääperheeseen: A, B, C ja D niiden erottavien piirteiden perusteella. Noin 30 % perheiden A, B ja D näytteistä sisältää merkkijonoja, jotka kohdistuvat tulevaan macOS 14 Sonomaan. Tämä osoittaa, että haittaohjelmien tekijät valmistautuvat jo Applen tulevaan työpöytäkäyttöjärjestelmän julkaisuun, mikä varmistaa Realstin yhteensopivuuden ja optimaalisen toiminnan.

Tämän uhan vuoksi macOS-käyttäjiä kehotetaan noudattamaan varovaisuutta blockchain-pelien kanssa, koska Realstin jakelijat käyttävät hyväkseen Discord-kanavia ja "vahvistettuja" Twitter-tilejä luodakseen petollisen illuusion legitiimiydestä. Valppaana oleminen ja pelien latauslähteiden tarkistaminen voi auttaa suojaamaan tällaisilta uhkaavilta ohjelmistoilta.