Realst Mac Malware

Un nuovo malware per Mac chiamato Realst è emerso come parte di una massiccia campagna di attacco mirata specificamente ai computer Apple. La cosa ancora più preoccupante è che alcune delle sue ultime versioni sono state adattate per sfruttare macOS 14 Sonoma, un sistema operativo ancora in fase di sviluppo.

La distribuzione di questo malware non è limitata agli utenti macOS, poiché prende di mira anche i dispositivi Windows. Gli aggressori stanno astutamente mascherando il malware come falsi giochi blockchain, dando loro nomi come Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles e SaintLegend.

Per indurre le vittime a scaricare il software minaccioso, questi giochi falsi sono fortemente promossi sui social media. Gli autori delle minacce utilizzano messaggi diretti per condividere i codici di accesso necessari per scaricare il falso client di gioco dai siti Web associati. Utilizzando questi codici di accesso, gli aggressori possono selezionare attentamente i loro obiettivi ed evitare il rilevamento da parte dei ricercatori di sicurezza che tentano di scoprire le loro attività non sicure.

I presunti installatori di giochi infettano i dispositivi delle vittime con malware che raccolgono informazioni. Le minacce sono specializzate nella raccolta di dati sensibili dai browser Web della vittima e dalle applicazioni del portafoglio di criptovaluta, inviando le informazioni raccolte direttamente agli attori della minaccia.

I ricercatori si sono concentrati principalmente sulle versioni macOS del malware Realst e hanno scoperto almeno 16 varianti con notevoli differenze tra loro, indicando un processo di sviluppo continuo e veloce.

Catena di attacco della minaccia Realst macOS Stealer

Quando gli utenti scaricano il gioco falso dal sito Web dell'autore della minaccia, incontreranno diversi malware in base al loro sistema operativo, Windows o macOS. Per gli utenti Windows, il malware comune distribuito è RedLine Stealer . Tuttavia, a volte potrebbero essere coinvolte anche altre varianti di malware come Raccoon Stealer e AsyncRAT .

D'altra parte, gli utenti Mac verranno infettati dal malware di furto di informazioni Realst, che è mascherato da programmi di installazione PKG o file su disco DMG. Questi file affermano di contenere contenuti di gioco ma, in realtà, ospitano solo file Mach-O non sicuri senza giochi reali o software legittimo.

Tra i componenti dannosi, il file "game.py" funge da infostealer multipiattaforma per Firefox. Allo stesso tempo, "installer.py" è etichettato come "chainbreaker", progettato per estrarre password, chiavi e certificati dal database del portachiavi macOS.

Per eludere il rilevamento da parte degli strumenti di sicurezza, alcuni campioni sono stati codificati utilizzando ID sviluppatore Apple precedentemente validi (ma ora revocati) o firme ad hoc. Questa tattica consente al malware di eludere le misure di sicurezza e rimanere nascosto.

Numerose versioni reali di malware scoperte negli attacchi

Finora sono state identificate 16 varianti distinte di Realst. Sebbene condividano significative somiglianze nella struttura e nella funzione, le varianti utilizzano diversi set di chiamate API. Indipendentemente da ciò, il malware prende di mira specificamente browser come Firefox, Chrome, Opera, Brave, Vivaldi e l'app Telegram. Sembra che nessuno dei campioni Realst analizzati sembri prendere di mira Safari.

La maggior parte di queste varianti tenta di ottenere la password dell'utente utilizzando tecniche di spoofing osascript e AppleScript. Inoltre, eseguono controlli di base per garantire che il dispositivo host non sia una macchina virtuale, utilizzando sysctl -n hw.model. I dati raccolti vengono quindi archiviati in una cartella denominata "dati", che può essere trovata in varie posizioni a seconda della versione del malware: nella cartella home dell'utente, nella directory di lavoro del malware o in una cartella che prende il nome dal gioco principale.

I ricercatori hanno classificato queste 16 varianti distinte in quattro famiglie principali: A, B, C e D, in base ai loro tratti distintivi. Circa il 30% dei campioni delle famiglie A, B e D contiene stringhe destinate al prossimo macOS 14 Sonoma. Ciò indica che gli autori del malware si stanno già preparando per l'imminente rilascio del sistema operativo desktop di Apple, garantendo la compatibilità e il funzionamento ottimale di Realst.

Data questa minaccia, si consiglia agli utenti macOS di prestare attenzione ai giochi blockchain, poiché i distributori di Realst sfruttano i canali Discord e gli account Twitter "verificati" per creare un'ingannevole illusione di legittimità. Essere vigili e verificare le fonti dei download di giochi può aiutare a proteggersi da tali software minacciosi.