Realst Mac Malware

תוכנה זדונית חדשה של Mac בשם Realst הופיעה כחלק ממסע התקפות מסיבי המכוון במיוחד למחשבי אפל. מה שמדאיג עוד יותר הוא שכמה מהגרסאות האחרונות שלה הותאמו לניצול macOS 14 Sonoma, מערכת הפעלה שעדיין בשלב הפיתוח.

ההפצה של תוכנה זדונית זו אינה מוגבלת למשתמשי macOS, מכיוון שהיא מכוונת גם למכשירי Windows. התוקפים מסווים את התוכנה הזדונית בצורה ערמומית כמשחקי בלוקצ'יין מזויפים, ומעניקים להם שמות כמו Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles ו-SaintLegend.

כדי לפתות קורבנות להוריד את התוכנה המאיימת, המשחקים המזויפים הללו מקודמים בכבדות ברשתות החברתיות. שחקני האיומים משתמשים בהודעות ישירות כדי לשתף קודי גישה הנדרשים להורדת לקוח המשחק המזויף מאתרים קשורים. באמצעות קודי גישה אלה, התוקפים יכולים לבחור בקפידה את המטרות שלהם ולהימנע מזיהוי על ידי חוקרי אבטחה המנסים לחשוף את הפעילויות הלא בטוחות שלהם.

מתקיני המשחקים כביכול מדביקים את המכשירים של הקורבנות בתוכנות זדוניות לאיסוף מידע. האיומים מתמחים באיסוף נתונים רגישים מדפדפני האינטרנט של הקורבן ויישומי ארנק קריפטו, שליחת המידע שנאסף ישירות לגורמי האיום.

החוקרים התמקדו בעיקר בגרסאות ה-macOS של התוכנה הזדונית Realst וגילו לפחות 16 גרסאות עם הבדלים בולטים ביניהן, מה שמצביע על תהליך פיתוח מתמשך ומהיר.

שרשרת התקפה של איום הגניבה של macOS Realst

כאשר משתמשים מורידים את המשחק המזויף מאתר האינטרנט של שחקן האיומים, הם יתקלו בתוכנות זדוניות שונות המבוססות על מערכת ההפעלה שלהם - או Windows או macOS. עבור משתמשי Windows, התוכנה הזדונית הנפוצה המופצת היא RedLine Stealer . עם זאת, לעיתים עשויות להיות מעורבות גם גרסאות תוכנות זדוניות אחרות כמו Raccoon Stealer ו- AsyncRAT .

מצד שני, משתמשי Mac יידבקו בתוכנה זדונית גניבת מידע של Realst, אשר מוסווה למתקיני PKG או קבצי דיסק DMG. קבצים אלה טוענים שהם מכילים תוכן משחק, אך במציאות הם מכילים רק קבצי Mach-O לא בטוחים ללא משחקים או תוכנה לגיטימית.

בין הרכיבים הזדוניים, הקובץ 'game.py' משמש כגנב מידע חוצה פלטפורמות של Firefox. במקביל, ה-'installer.py' מסומן בתור 'שובר שרשרת', שנועד לחלץ סיסמאות, מפתחות ואישורים ממסד הנתונים של מחזיק המפתחות של macOS.

כדי להתחמק מזיהוי על ידי כלי אבטחה, חלק מהדגימות תוכננו יחד תוך שימוש במזהי מפתחים של Apple תקפים בעבר (אך בוטלו כעת) או חתימות אד-הוק. טקטיקה זו מאפשרת לתוכנה הזדונית לחמוק מעבר לאמצעי אבטחה ולהישאר מוסתרים.

גרסאות זדוניות רבות של Realst שנחשפו בהתקפות

עד כה זוהו 16 גרסאות נפרדות של Realst. למרות שחולקים קווי דמיון משמעותיים במבנה ובתפקוד, הגרסאות משתמשות במערכות קריאות API שונות. ללא קשר, התוכנה הזדונית מכוונת במיוחד לדפדפנים כמו Firefox, Chrome, Opera, Brave, Vivaldi ואפליקציית Telegram. נראה שאף אחת מהדגימות המנותחות של Realst לא מכוונת לספארי.

רוב הגרסאות הללו מנסות להשיג את סיסמת המשתמש באמצעות טכניקות זיוף של osascript ו-AppleScript. בנוסף, הם מבצעים בדיקות בסיסיות כדי לוודא שהמכשיר המארח אינו מכונה וירטואלית, תוך שימוש ב-sysctl -n hw.model. הנתונים הנאספים מאוחסנים אז בתיקייה בשם 'נתונים', אותה ניתן למצוא במקומות שונים בהתאם לגרסת התוכנה הזדונית: בתיקיית הבית של המשתמש, ספריית העבודה של התוכנה הזדונית, או תיקיה הקרויה על שם משחק האב.

חוקרים סיווגו את 16 הגרסאות הנבדלות הללו לארבע משפחות עיקריות: A, B, C ו-D, בהתבסס על התכונות הייחודיות שלהן. כ-30% מהדגימות ממשפחות A, B ו-D מכילות מחרוזות המכוונות ל-macOS 14 Sonoma הקרוב. זה מצביע על כך שמחברי התוכנה הזדונית כבר מתכוננים לשחרור מערכת ההפעלה של אפל הקרובה של אפל, מה שמבטיח את התאימות והתפקוד האופטימלי של Realst.

בהתחשב באיום הזה, מומלץ למשתמשי macOS לנקוט משנה זהירות במשחקי בלוקצ'יין, שכן המפיצים של Realst מנצלים את ערוצי Discord וחשבונות טוויטר 'אומתים' כדי ליצור אשליה מטעה של חוקיות. שמירה על ערנות ואימות מקורות הורדות המשחקים יכולה לסייע בהגנה מפני תוכנות מאיימות שכאלה.