Realst Mac Malware
មេរោគ Mac ថ្មីមួយដែលមានឈ្មោះថា Realst បានលេចចេញជាផ្នែកនៃយុទ្ធនាការវាយប្រហារដ៏ធំជាពិសេសផ្តោតលើកុំព្យូទ័រ Apple ។ អ្វីដែលកាន់តែបារម្ភនោះគឺកំណែចុងក្រោយបំផុតមួយចំនួនរបស់វាត្រូវបានកែសម្រួលដើម្បីកេងប្រវ័ញ្ចលើ macOS 14 Sonoma ដែលជាប្រព័ន្ធប្រតិបត្តិការនៅតែស្ថិតក្នុងដំណាក់កាលអភិវឌ្ឍន៍។
ការចែកចាយមេរោគនេះមិនត្រូវបានកំណត់ចំពោះអ្នកប្រើប្រាស់ macOS ទេព្រោះវាក៏កំណត់គោលដៅឧបករណ៍ Windows ផងដែរ។ អ្នកវាយប្រហារកំពុងក្លែងបន្លំមេរោគជាហ្គេម blockchain ក្លែងក្លាយ ដោយផ្តល់ឱ្យពួកគេនូវឈ្មោះដូចជា Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles និង SaintLegend ។
ដើម្បីទាក់ទាញជនរងគ្រោះឱ្យទាញយកកម្មវិធីគំរាមកំហែង ហ្គេមក្លែងក្លាយទាំងនេះត្រូវបានផ្សព្វផ្សាយយ៉ាងខ្លាំងនៅលើប្រព័ន្ធផ្សព្វផ្សាយសង្គម។ តួអង្គគំរាមកំហែងប្រើប្រាស់សារផ្ទាល់ដើម្បីចែករំលែកលេខកូដចូលប្រើប្រាស់ដែលត្រូវការសម្រាប់ការទាញយកកម្មវិធីហ្គេមក្លែងក្លាយពីគេហទំព័រដែលពាក់ព័ន្ធ។ ដោយប្រើលេខកូដចូលប្រើទាំងនេះ អ្នកវាយប្រហារអាចជ្រើសរើសគោលដៅរបស់ពួកគេដោយប្រុងប្រយ័ត្ន និងជៀសវាងការរកឃើញដោយក្រុមអ្នកស្រាវជ្រាវសន្តិសុខដែលព្យាយាមបង្ហាញសកម្មភាពដែលមិនមានសុវត្ថិភាពរបស់ពួកគេ។
កម្មវិធីដំឡើងហ្គេមដែលសន្មត់ថាឆ្លងឧបករណ៍របស់ជនរងគ្រោះជាមួយនឹងមេរោគដែលប្រមូលព័ត៌មាន។ ការគំរាមកំហែងមានជំនាញក្នុងការប្រមូលទិន្នន័យរសើបពីកម្មវិធីរុករកតាមអ៊ីនធឺណិតរបស់ជនរងគ្រោះ និងកម្មវិធីកាបូបលុយគ្រីបតូ ដោយបញ្ជូនព័ត៌មានដែលប្រមូលបានដោយផ្ទាល់ទៅកាន់អ្នកគំរាមកំហែង។
អ្នកស្រាវជ្រាវផ្តោតជាចម្បងលើកំណែ macOS នៃមេរោគ Realst ហើយបានរកឃើញយ៉ាងហោចណាស់វ៉ារ្យ៉ង់ 16 ជាមួយនឹងភាពខុសគ្នាគួរឱ្យកត់សម្គាល់រវាងពួកវា ដែលបង្ហាញពីដំណើរការអភិវឌ្ឍន៍ដែលកំពុងបន្ត និងឆាប់រហ័ស។
ខ្សែសង្វាក់វាយប្រហារនៃ Realst macOS Stealer Threat
នៅពេលដែលអ្នកប្រើប្រាស់ទាញយកហ្គេមក្លែងក្លាយពីគេហទំព័ររបស់តួអង្គគំរាមកំហែង ពួកគេនឹងជួបប្រទះមេរោគផ្សេងៗដោយផ្អែកលើប្រព័ន្ធប្រតិបត្តិការរបស់ពួកគេ – ទាំង Windows ឬ macOS ។ សម្រាប់អ្នកប្រើប្រាស់ Windows មេរោគទូទៅដែលកំពុងត្រូវបានចែកចាយគឺ RedLine Stealer ។ ទោះយ៉ាងណាក៏ដោយ ជួនកាល វ៉ារ្យ៉ង់មេរោគផ្សេងទៀតដូចជា Raccoon Stealer និង AsyncRAT ក៏អាចពាក់ព័ន្ធផងដែរ។
ម្យ៉ាងវិញទៀត អ្នកប្រើប្រាស់ Mac នឹងត្រូវឆ្លងមេរោគ Realst info-stealing malware ដែលត្រូវបានក្លែងបន្លំជាកម្មវិធីដំឡើង PKG ឬឯកសារឌីស DMG ។ ឯកសារទាំងនេះអះអាងថាមានខ្លឹមសារហ្គេម ប៉ុន្តែតាមពិត មានតែឯកសារ Mach-O ដែលមិនមានសុវត្ថិភាពសម្រាប់ផ្ទះដោយគ្មានហ្គេម ឬកម្មវិធីស្របច្បាប់។
ក្នុងចំណោមសមាសធាតុព្យាបាទ ឯកសារ 'game.py' បម្រើជាកម្មវិធីលួចព័ត៌មាន Firefox ឆ្លងវេទិកា។ ក្នុងពេលជាមួយគ្នានោះ 'installer.py' ត្រូវបានដាក់ស្លាកថា 'chainbreaker' ដែលត្រូវបានរចនាឡើងដើម្បីទាញយកពាក្យសម្ងាត់ សោ និងវិញ្ញាបនបត្រពីមូលដ្ឋានទិន្នន័យ macOS keychain ។
ដើម្បីគេចពីការរកឃើញដោយឧបករណ៍សុវត្ថិភាព គំរូមួយចំនួនត្រូវបានសរសេរកូដដោយប្រើសុពលភាពពីមុន (ប៉ុន្តែឥឡូវនេះត្រូវបានដកហូត) Apple Developer IDs ឬហត្ថលេខា ad-hoc។ យុទ្ធសាស្ត្រនេះអនុញ្ញាតឱ្យមេរោគឆ្លងផុតវិធានការសុវត្ថិភាព ហើយនៅតែលាក់។
កំណែមេរោគ Realst ជាច្រើនដែលត្រូវបានរកឃើញនៅក្នុងការវាយប្រហារ
រហូតមកដល់ពេលនេះ 16 ប្រភេទផ្សេងគ្នានៃ Realst ត្រូវបានកំណត់អត្តសញ្ញាណ។ ទោះបីជាការចែករំលែកភាពស្រដៀងគ្នាសំខាន់ៗនៅក្នុងរចនាសម្ព័ន្ធ និងមុខងារក៏ដោយ វ៉ារ្យ៉ង់ប្រើសំណុំការហៅ API ផ្សេងៗគ្នា។ ទោះបីជាយ៉ាងណាក៏ដោយ មេរោគនេះផ្តោតជាពិសេសទៅលើកម្មវិធីរុករកតាមអ៊ីនធឺណិតដូចជា Firefox, Chrome, Opera, Brave, Vivaldi និងកម្មវិធី Telegram ។ វាហាក់បីដូចជាគ្មានគំរូ Realst ដែលបានវិភាគហាក់ដូចជាកំណត់គោលដៅ Safari ទេ។
វ៉ារ្យ៉ង់ទាំងនេះភាគច្រើនព្យាយាមដើម្បីទទួលបានពាក្យសម្ងាត់របស់អ្នកប្រើដោយប្រើ osascript និង AppleScript បច្ចេកទេសក្លែងបន្លំ។ លើសពីនេះទៀត ពួកគេធ្វើការត្រួតពិនិត្យជាមូលដ្ឋាន ដើម្បីធានាថាឧបករណ៍ម៉ាស៊ីនមិនមែនជាម៉ាស៊ីននិម្មិត ដោយប្រើប្រាស់ sysctl -n hw.model ។ បន្ទាប់មកទិន្នន័យដែលប្រមូលបានត្រូវបានរក្សាទុកក្នុងថតដែលមានឈ្មោះ 'ទិន្នន័យ' ដែលអាចត្រូវបានរកឃើញនៅក្នុងទីតាំងផ្សេងៗ អាស្រ័យលើកំណែមេរោគ៖ ទាំងនៅក្នុងថតផ្ទះរបស់អ្នកប្រើ ថតដំណើរការរបស់មេរោគ ឬថតដែលមានឈ្មោះតាមហ្គេមមេ។
អ្នកស្រាវជ្រាវបានបែងចែកប្រភេទផ្សេងគ្នាទាំង 16 នេះទៅជាគ្រួសារសំខាន់ៗចំនួន 4: A, B, C និង D ដោយផ្អែកលើលក្ខណៈសម្គាល់របស់ពួកគេ។ ប្រហែល 30% នៃគំរូពីគ្រួសារ A, B, និង D មានខ្សែដែលកំណត់គោលដៅ macOS 14 Sonoma នាពេលខាងមុខ។ នេះបង្ហាញថាអ្នកនិពន្ធមេរោគកំពុងរៀបចំរួចហើយសម្រាប់ការចេញផ្សាយប្រព័ន្ធប្រតិបត្តិការកុំព្យូទ័រលើតុនាពេលខាងមុខរបស់ Apple ដោយធានានូវភាពឆបគ្នារបស់ Realst និងមុខងារដ៏ល្អប្រសើរ។
ដោយសារការគំរាមកំហែងនេះ អ្នកប្រើប្រាស់ macOS ត្រូវបានគេណែនាំឱ្យអនុវត្តការប្រុងប្រយ័ត្នជាមួយនឹងហ្គេម blockchain ក្នុងនាមជាអ្នកចែកចាយបណ្តាញ Discord កេងប្រវ័ញ្ច Realst និង 'ផ្ទៀងផ្ទាត់' គណនី Twitter ដើម្បីបង្កើតការបំភាន់នៃភាពស្របច្បាប់។ ការប្រុងប្រយ័ត្ន និងផ្ទៀងផ្ទាត់ប្រភពនៃការទាញយកហ្គេមអាចជួយការពារប្រឆាំងនឹងកម្មវិធីគំរាមកំហែងបែបនេះ។
