Realst Mac 맬웨어

Realst라는 새로운 Mac 맬웨어가 특히 Apple 컴퓨터를 대상으로 하는 대규모 공격 캠페인의 일부로 등장했습니다. 더욱 우려되는 점은 최신 버전 중 일부가 아직 개발 단계에 있는 운영 체제인 macOS 14 Sonoma를 이용하도록 조정되었다는 것입니다.

이 맬웨어의 배포는 macOS 사용자에게만 국한되지 않으며 Windows 장치도 대상으로 합니다. 공격자는 멀웨어를 가짜 블록체인 게임으로 위장하여 Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles 및 SaintLegend와 같은 이름을 부여합니다.

피해자가 위협적인 소프트웨어를 다운로드하도록 유인하기 위해 이러한 가짜 게임은 소셜 미디어에서 크게 홍보됩니다. 공격자는 직접 메시지를 사용하여 관련 웹사이트에서 가짜 게임 클라이언트를 다운로드하는 데 필요한 액세스 코드를 공유합니다. 공격자는 이러한 액세스 코드를 사용하여 대상을 신중하게 선택하고 안전하지 않은 활동을 발견하려는 보안 연구원의 탐지를 피할 수 있습니다.

추정되는 게임 설치 프로그램은 피해자의 장치를 정보 수집 악성코드로 감염시킵니다. 이 위협은 피해자의 웹 브라우저와 암호화폐 지갑 애플리케이션에서 민감한 데이터를 수집하여 수집된 정보를 위협 행위자에게 직접 전송하는 데 특화되어 있습니다.

연구원들은 주로 Realst 악성코드의 macOS 버전에 초점을 맞추었고, 그들 사이에 눈에 띄는 차이점이 있는 최소 16개의 변종을 발견했으며, 이는 진행 중이며 빠르게 진행되는 개발 프로세스를 나타냅니다.

Realst macOS Stealer 위협의 공격 체인

사용자가 공격자의 웹 사이트에서 가짜 게임을 다운로드하면 운영 체제(Windows 또는 macOS)에 따라 다른 맬웨어를 만나게 됩니다. Windows 사용자의 경우 배포되는 일반적인 맬웨어는 RedLine Stealer 입니다. 그러나 때때로 Raccoon Stealer 및 AsyncRAT 와 같은 다른 맬웨어 변종도 포함될 수 있습니다.

반면에 Mac 사용자는 PKG 설치 프로그램 또는 DMG 디스크 파일로 위장한 Realst 정보 도용 악성코드에 감염됩니다. 이러한 파일은 게임 콘텐츠를 포함한다고 주장하지만 실제로는 실제 게임이나 합법적인 소프트웨어가 없는 안전하지 않은 Mach-O 파일만 포함합니다.

악성 구성 요소 중 'game.py' 파일은 크로스 플랫폼 Firefox infostealer 역할을 합니다. 동시에 'installer.py'는 macOS 키 체인 데이터베이스에서 암호, 키 및 인증서를 추출하도록 설계된 'chainbreaker'로 레이블이 지정됩니다.

보안 도구의 탐지를 피하기 위해 일부 샘플은 이전에 유효했지만 지금은 해지된 Apple 개발자 ID 또는 임시 서명을 사용하여 공동 설계되었습니다. 이 전술을 사용하면 맬웨어가 보안 조치를 통과하고 숨겨진 상태를 유지할 수 있습니다.

공격에서 발견된 수많은 실제 맬웨어 버전

지금까지 Realst의 16가지 변종이 확인되었습니다. 구조와 기능에서 상당한 유사성을 공유하지만 변형은 서로 다른 API 호출 세트를 사용합니다. 그럼에도 불구하고 이 악성코드는 Firefox, Chrome, Opera, Brave, Vivaldi 및 Telegram 앱과 같은 브라우저를 특별히 표적으로 삼습니다. 분석된 Realst 샘플 중 어느 것도 Safari를 대상으로 하지 않는 것으로 보입니다.

이러한 변종의 대부분은 osascript 및 AppleScript 스푸핑 기술을 사용하여 사용자 암호를 얻으려고 시도합니다. 또한 sysctl -n hw.model을 사용하여 호스트 장치가 가상 머신이 아닌지 기본 검사를 수행합니다. 그런 다음 수집된 데이터는 'data'라는 이름의 폴더에 저장되며, 이 폴더는 맬웨어 버전에 따라 사용자의 홈 폴더, 맬웨어의 작업 디렉터리 또는 상위 게임의 이름을 딴 폴더 등 다양한 위치에서 찾을 수 있습니다.

연구자들은 이 16가지 변종을 구별되는 특성에 따라 A, B, C, D의 네 가지 주요 계열로 분류했습니다. A, B 및 D 제품군의 샘플 중 약 30%에는 곧 출시될 macOS 14 Sonoma를 대상으로 하는 문자열이 포함되어 있습니다. 이것은 맬웨어 작성자가 Realst의 호환성과 최적의 기능을 보장하면서 Apple의 향후 데스크톱 OS 릴리스를 이미 준비하고 있음을 나타냅니다.

이러한 위협을 고려할 때 macOS 사용자는 Realst 배포자가 Discord 채널과 '확인된' Twitter 계정을 악용하여 적법성에 대한 기만적인 환상을 만들기 때문에 블록체인 게임에 주의를 기울여야 합니다. 경계하고 게임 다운로드 소스를 확인하면 이러한 위협적인 소프트웨어로부터 보호할 수 있습니다.