Realst Mac ļaunprātīga programmatūra

Jauna Mac ļaunprogrammatūra ar nosaukumu Realst ir parādījusies kā daļa no masveida uzbrukuma kampaņas, kas īpaši vērsta uz Apple datoriem. Vēl vairāk satrauc tas, ka dažas tās jaunākās versijas ir pielāgotas operētājsistēmas macOS 14 Sonoma izmantošanai, kas joprojām atrodas izstrādes stadijā.

Šīs ļaunprogrammatūras izplatīšana neaprobežojas tikai ar MacOS lietotājiem, jo tā ir vērsta arī uz Windows ierīcēm. Uzbrucēji viltīgi maskē ļaunprātīgo programmatūru kā viltotas blokķēdes spēles, piešķirot tām tādus nosaukumus kā Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles un SaintLegend.

Lai mudinātu upurus lejupielādēt draudīgo programmatūru, šīs viltus spēles tiek plaši reklamētas sociālajos medijos. Draudu dalībnieki izmanto tiešus ziņojumus, lai kopīgotu piekļuves kodus, kas nepieciešami viltus spēļu klienta lejupielādei no saistītajām vietnēm. Izmantojot šos piekļuves kodus, uzbrucēji var rūpīgi atlasīt savus mērķus un izvairīties no drošības pētnieku atklāšanas, mēģinot atklāt viņu nedrošās darbības.

Domājamie spēļu instalētāji inficē upuru ierīces ar informācijas vākšanas ļaunprogrammatūru. Draudi specializējas sensitīvu datu vākšanā no upura tīmekļa pārlūkprogrammām un kriptovalūtas maka lietojumprogrammām, nosūtot savākto informāciju tieši apdraudējuma dalībniekiem.

Pētnieki galvenokārt koncentrējās uz Realst ļaunprogrammatūras macOS versijām un atklāja vismaz 16 variantus ar ievērojamām atšķirībām starp tiem, norādot uz notiekošu un strauju izstrādes procesu.

Realst macOS Stealer draudu uzbrukuma ķēde

Kad lietotāji lejupielādēs viltotu spēli no draudu izpildītāja vietnes, viņi saskarsies ar dažādu ļaunprātīgu programmatūru atkarībā no viņu operētājsistēmas — Windows vai MacOS. Windows lietotājiem izplatītā ļaunprogrammatūra ir RedLine Stealer . Tomēr dažreiz var būt iesaistīti arī citi ļaunprātīgas programmatūras varianti, piemēram, Raccoon Stealer un AsyncRAT .

No otras puses, Mac lietotāji tiks inficēti ar Realst informācijas zagšanas ļaunprogrammatūru, kas tiek maskēta kā PKG instalētāji vai DMG diska faili. Šajos failos tiek apgalvots, ka tie satur spēļu saturu, bet patiesībā tajos ir tikai nedroši Mach-O faili bez faktiskām spēlēm vai likumīgas programmatūras.

Ļaunprātīgo komponentu vidū fails “game.py” kalpo kā vairāku platformu Firefox infostealer. Tajā pašā laikā “installer.py” ir apzīmēts kā “chainbreaker”, kas paredzēts paroļu, atslēgu un sertifikātu iegūšanai no MacOS atslēgu ķēdes datu bāzes.

Lai izvairītos no drošības rīku atklāšanas, daži paraugi tika izstrādāti, izmantojot iepriekš derīgus (bet tagad atsauktus) Apple izstrādātāja ID vai ad-hoc parakstus. Šī taktika ļauj ļaunprogrammatūrai izvairīties no drošības pasākumiem un palikt paslēptai.

Uzbrukumos atklātas daudzas Realst ļaunprātīgas programmatūras versijas

Līdz šim ir identificēti 16 atšķirīgi Realst varianti. Lai gan tiem ir būtiskas līdzības struktūrā un funkcijās, varianti izmanto dažādas API zvanu kopas. Neatkarīgi no tā, ļaunprogrammatūra ir īpaši paredzēta pārlūkprogrammām, piemēram, Firefox, Chrome, Opera, Brave, Vivaldi un lietotnei Telegram. Šķiet, ka neviens no analizētajiem Realst paraugiem nav paredzēts Safari.

Lielākā daļa no šiem variantiem mēģina iegūt lietotāja paroli, izmantojot osascript un AppleScript viltošanas paņēmienus. Turklāt viņi veic pamata pārbaudes, lai nodrošinātu, ka resursdatora ierīce nav virtuāla mašīna, izmantojot sysctl -n hw.model. Pēc tam apkopotie dati tiek glabāti mapē ar nosaukumu “data”, kuru var atrast dažādās vietās atkarībā no ļaunprātīgas programmatūras versijas: vai nu lietotāja mājas mapē, ļaunprogrammatūras darba direktorijā vai mapē, kas nosaukta galvenās spēles vārdā.

Pētnieki ir iedalījuši šos 16 atšķirīgos variantus četrās galvenajās ģimenēs: A, B, C un D, pamatojoties uz to atšķirīgajām iezīmēm. Aptuveni 30% paraugu no A, B un D saimēm satur virknes, kuru mērķauditorija ir gaidāmā MacOS 14 Sonoma. Tas norāda, ka ļaunprogrammatūras autori jau gatavojas gaidāmajai Apple darbvirsmas OS izlaišanai, nodrošinot Realst saderību un optimālu darbību.

Ņemot vērā šos draudus, macOS lietotājiem ieteicams ievērot piesardzību ar blokķēdes spēlēm, jo Realst izplatītāji izmanto Discord kanālus un “verificētos” Twitter kontus, lai radītu maldinošu leģitimitātes ilūziju. Uzmanība un spēļu lejupielādes avotu pārbaude var palīdzēt aizsargāties pret šādu draudošu programmatūru.