Realst Mac Malware

Novi zlonamjerni softver za Mac pod nazivom Realst pojavio se kao dio masovne napadačke kampanje usmjerene posebno na Apple računala. Ono što još više zabrinjava je da su neke od njegovih najnovijih verzija prilagođene za iskorištavanje macOS 14 Sonoma, operativnog sustava koji je još uvijek u fazi razvoja.

Distribucija ovog zlonamjernog softvera nije ograničena na korisnike macOS-a, jer cilja i na Windows uređaje. Napadači lukavo maskiraju zlonamjerni softver u lažne blockchain igre, dajući im imena poput Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles i SaintLegend.

Kako bi se žrtve namamile na preuzimanje prijetećeg softvera, ove se lažne igre intenzivno promoviraju na društvenim mrežama. Akteri prijetnji koriste izravne poruke za dijeljenje pristupnih kodova potrebnih za preuzimanje lažnog klijenta igre s povezanih web stranica. Korištenjem ovih pristupnih kodova, napadači mogu pažljivo odabrati svoje mete i izbjeći otkrivanje sigurnosnih istraživača koji pokušavaju otkriti njihove nesigurne aktivnosti.

Navodni instalacijski programi zaraze uređaje žrtava zlonamjernim softverom za prikupljanje informacija. Prijetnje su specijalizirane za prikupljanje osjetljivih podataka iz žrtvinih web preglednika i aplikacija novčanika za kriptovalute, šaljući prikupljene informacije izravno akterima prijetnje.

Istraživači su se prvenstveno usredotočili na macOS verzije malwarea Realst i otkrili najmanje 16 varijanti s primjetnim razlikama među njima, što ukazuje na stalan i brz razvojni proces.

Lanac napada Realst macOS Stealer Threat

Kada korisnici preuzmu lažnu igricu s web stranice aktera prijetnje, naići će na različite zlonamjerne programe koji se temelje na njihovom operativnom sustavu – bilo Windows ili macOS. Za korisnike Windowsa, uobičajeni malware koji se distribuira je RedLine Stealer . Međutim, povremeno mogu biti uključene i druge varijante zlonamjernog softvera poput Raccoon Stealer i AsyncRAT .

S druge strane, korisnici Mac računala bit će zaraženi zlonamjernim softverom Realst za krađu informacija, koji je prerušen u PKG instalacijske programe ili DMG diskovne datoteke. Ove datoteke tvrde da sadrže sadržaj igrica, ali u stvarnosti sadrže samo nesigurne Mach-O datoteke bez stvarnih igara ili legitimnog softvera.

Među zlonamjernim komponentama, datoteka 'game.py' služi kao Firefox infostealer za više platformi. U isto vrijeme, 'installer.py' je označen kao 'chainbreaker', dizajniran za izdvajanje lozinki, ključeva i certifikata iz baze podataka macOS keychain.

Kako bi se izbjeglo otkrivanje od strane sigurnosnih alata, neki uzorci su kodirani korištenjem prethodno važećih (ali sada opozvanih) Apple Developer ID-ova ili ad-hoc potpisa. Ova taktika omogućuje zlonamjernom softveru da prođe sigurnosne mjere i ostane skriven.

Brojne Realst verzije zlonamjernog softvera otkrivene u napadima

Do sada je identificirano 16 različitih varijanti Realsta. Iako dijele značajne sličnosti u strukturi i funkciji, varijante koriste različite skupove API poziva. Bez obzira na to, zlonamjerni softver posebno cilja preglednike kao što su Firefox, Chrome, Opera, Brave, Vivaldi i aplikacija Telegram. Čini se da niti jedan od analiziranih Realst uzoraka ne cilja na Safari.

Većina ovih varijanti pokušava doći do korisničke lozinke korištenjem osascript i AppleScript tehnika lažiranja. Osim toga, provode osnovne provjere kako bi osigurali da glavni uređaj nije virtualni stroj, koristeći sysctl -n hw.model. Prikupljeni podaci se zatim pohranjuju u mapu pod nazivom 'podaci', koja se može pronaći na različitim lokacijama ovisno o verziji zlonamjernog softvera: u početnoj mapi korisnika, radnom direktoriju zlonamjernog softvera ili u mapi nazvanoj po nadređenoj igri.

Istraživači su kategorizirali ovih 16 različitih varijanti u četiri glavne obitelji: A, B, C i D, na temelju njihovih prepoznatljivih osobina. Otprilike 30% uzoraka iz obitelji A, B i D sadrži nizove koji ciljaju nadolazeći macOS 14 Sonoma. To ukazuje da se autori zlonamjernog softvera već pripremaju za Appleovo nadolazeće izdanje desktop OS-a, osiguravajući kompatibilnost i optimalno funkcioniranje Realsta.

S obzirom na ovu prijetnju, korisnicima macOS-a savjetuje se da budu oprezni s blockchain igrama, budući da distributeri Realsta iskorištavaju Discord kanale i 'provjerene' Twitter račune kako bi stvorili varljivu iluziju legitimnosti. Biti oprezan i provjera izvora preuzimanja igara može pomoći u zaštiti od takvog prijetećeg softvera.