Realst Mac kenkėjiška programa

Nauja „Mac“ kenkėjiška programa „Realst“ pasirodė kaip didžiulės atakos kampanijos, skirtos konkrečiai „Apple“ kompiuteriams, dalis. Dar labiau susirūpinimą kelia tai, kad kai kurios naujausios jos versijos buvo pritaikytos naudoti „macOS 14 Sonoma“ – operacinę sistemą, kuri vis dar tik kuriama.

Šios kenkėjiškos programos platinamos ne tik „MacOS“ naudotojams, nes ji taip pat taikoma „Windows“ įrenginiams. Užpuolikai gudriai maskuoja kenkėjiškas programas kaip netikrus „blockchain“ žaidimus, suteikdami jiems tokius pavadinimus kaip „Brawl Earth“, „WildWorld“, „Dawnland“, „Destruction“, „Evolion“, „Pearl“, „Olymp of Reptiles“ ir „SaintLegend“.

Siekiant privilioti aukas atsisiųsti grėsmingą programinę įrangą, šie netikri žaidimai yra labai reklamuojami socialinėje žiniasklaidoje. Grėsmės veikėjai naudoja tiesioginius pranešimus, kad pasidalytų prieigos kodais, kurių reikia norint atsisiųsti netikrą žaidimo klientą iš susijusių svetainių. Naudodami šiuos prieigos kodus, užpuolikai gali atidžiai pasirinkti savo taikinius ir išvengti saugumo tyrinėtojų, bandančių atskleisti savo nesaugią veiklą, aptikimo.

Tariami žaidimų diegėjai užkrečia aukų įrenginius informaciją renkančia kenkėjiška programa. Grasinimai specializuojasi renkant jautrius duomenis iš aukos interneto naršyklių ir kriptovaliutų piniginės programų, siunčiant surinktą informaciją tiesiai grėsmės veikėjams.

Tyrėjai daugiausia dėmesio skyrė „MacOS“ „Realst“ kenkėjiškos programinės įrangos versijoms ir atrado mažiausiai 16 variantų su pastebimais skirtumais tarp jų, o tai rodo nuolatinį ir greitą kūrimo procesą.

„Realst MacOS Stealer Threat“ atakų grandinė

Kai vartotojai atsisiųs netikrą žaidimą iš grėsmės veikėjo svetainės, jie susidurs su įvairiomis kenkėjiškomis programomis, atsižvelgiant į jų operacinę sistemą – „Windows“ arba „MacOS“. „Windows“ vartotojams dažniausiai platinama kenkėjiška programa yra „RedLine Stealer“ . Tačiau kartais gali būti įtraukti ir kiti kenkėjiškų programų variantai, pvz., „Raccoon Stealer“ ir „AsyncRAT“ .

Kita vertus, „Mac“ vartotojai bus užkrėsti „Realst“ informaciją vagiančia kenkėjiška programa, kuri yra užmaskuota kaip PKG diegimo programos arba DMG disko failai. Teigiama, kad šiuose failuose yra žaidimų turinio, tačiau iš tikrųjų juose yra tik nesaugūs Mach-O failai be jokių žaidimų ar teisėtos programinės įrangos.

Tarp kenkėjiškų komponentų failas „game.py“ naudojamas kaip kelių platformų „Firefox“ informacijos stealer. Tuo pačiu metu „installer.py“ yra pažymėtas kaip „chainbreaker“, skirtas slaptažodžiams, raktams ir sertifikatams iš „macOS“ raktų pakabuko duomenų bazės išgauti.

Siekiant išvengti saugos įrankių aptikimo, kai kurie pavyzdžiai buvo sukurti naudojant anksčiau galiojusius (bet dabar atšauktus) „Apple“ kūrėjo ID arba specialius parašus. Ši taktika leidžia kenkėjiškajai programai praleisti saugos priemones ir likti paslėpta.

Daugybė „Realst“ kenkėjiškų programų versijų, atskleistų atakų metu

Iki šiol buvo nustatyta 16 skirtingų Realst variantų. Nors jų struktūra ir funkcijos yra labai panašios, variantuose naudojami skirtingi API skambučių rinkiniai. Nepaisant to, kenkėjiška programa skirta būtent tokioms naršyklėms kaip „Firefox“, „Chrome“, „Opera“, „Brave“, „Vivaldi“ ir „Telegram“ programa. Atrodo, kad nė vienas iš analizuotų „Realst“ pavyzdžių nėra skirtas „Safari“.

Dauguma šių variantų bando gauti vartotojo slaptažodį naudojant osascript ir AppleScript klastojimo metodus. Be to, jie atlieka pagrindinius patikrinimus, kad įsitikintų, jog pagrindinis įrenginys nėra virtuali mašina, naudojant sysctl -n hw.model. Tada surinkti duomenys saugomi aplanke, pavadintame „duomenys“, kurį galima rasti įvairiose vietose, atsižvelgiant į kenkėjiškos programos versiją: vartotojo namų aplanke, kenkėjiškos programos darbo kataloge arba aplanke, pavadintame pagrindinio žaidimo vardu.

Tyrėjai šiuos 16 skirtingų variantų suskirstė į keturias pagrindines šeimas: A, B, C ir D, atsižvelgdami į jų skiriamuosius bruožus. Maždaug 30 % A, B ir D šeimų pavyzdžių yra eilučių, skirtų būsimam macOS 14 Sonoma. Tai rodo, kad kenkėjiškų programų autoriai jau ruošiasi būsimam „Apple“ darbalaukio OS leidimui, užtikrindami „Realst“ suderinamumą ir optimalų veikimą.

Atsižvelgiant į šią grėsmę, „MacOS“ naudotojams patariama elgtis atsargiai su „blockchain“ žaidimais, nes „Realst“ platintojai išnaudoja „Discord“ kanalus ir „patvirtintas“ „Twitter“ paskyras, kad sukurtų apgaulingą teisėtumo iliuziją. Būdami budrūs ir tikrindami žaidimų atsisiuntimo šaltinius, galite apsisaugoti nuo tokios grėsmingos programinės įrangos.