Realst Mac Malware

Satu perisian hasad Mac baharu bernama Realst telah muncul sebagai sebahagian daripada kempen serangan besar-besaran yang khusus menyasarkan komputer Apple. Apa yang lebih membimbangkan ialah beberapa versi terbarunya telah disesuaikan untuk mengeksploitasi macOS 14 Sonoma, sistem pengendalian yang masih dalam peringkat pembangunan.

Pengedaran perisian hasad ini tidak terhad kepada pengguna macOS, kerana ia juga menyasarkan peranti Windows. Penyerang dengan licik menyamar malware itu sebagai permainan blockchain palsu, memberi mereka nama seperti Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles dan SaintLegend.

Untuk menarik mangsa memuat turun perisian yang mengancam, permainan palsu ini banyak dipromosikan di media sosial. Pelakon ancaman menggunakan mesej langsung untuk berkongsi kod akses yang diperlukan untuk memuat turun klien permainan palsu daripada tapak web yang berkaitan. Dengan menggunakan kod akses ini, penyerang boleh memilih sasaran mereka dengan berhati-hati dan mengelakkan pengesanan oleh penyelidik keselamatan yang cuba mendedahkan aktiviti tidak selamat mereka.

Pemasang permainan sepatutnya menjangkiti peranti mangsa dengan perisian hasad pengumpul maklumat. Ancaman pakar dalam mengumpul data sensitif daripada pelayar Web mangsa dan aplikasi dompet mata wang kripto, menghantar maklumat yang dikumpul terus kepada pelaku ancaman.

Para penyelidik memberi tumpuan terutamanya pada versi macOS bagi perisian hasad Realst dan menemui sekurang-kurangnya 16 varian dengan perbezaan ketara antara mereka, menunjukkan proses pembangunan yang berterusan dan pantas.

Rantaian Serangan Ancaman Pencuri macOS Realst

Apabila pengguna memuat turun permainan palsu dari tapak web pelakon ancaman, mereka akan menghadapi perisian hasad yang berbeza berdasarkan sistem pengendalian mereka – sama ada Windows atau macOS. Bagi pengguna Windows, perisian hasad biasa yang diedarkan ialah RedLine Stealer . Walau bagaimanapun, kadangkala, varian perisian hasad lain seperti Raccoon Stealer dan AsyncRAT juga mungkin terlibat.

Sebaliknya, pengguna Mac akan dijangkiti dengan perisian hasad pencuri maklumat Realst, yang menyamar sebagai pemasang PKG atau fail cakera DMG. Fail ini mendakwa mengandungi kandungan permainan tetapi, pada hakikatnya, hanya menempatkan fail Mach-O yang tidak selamat tanpa permainan sebenar atau perisian yang sah.

Antara komponen berniat jahat, fail 'game.py' berfungsi sebagai pencuri maklumat Firefox merentas platform. Pada masa yang sama, 'installer.py' dilabelkan sebagai 'chainbreaker,' direka untuk mengekstrak kata laluan, kunci dan sijil daripada pangkalan data rantai kunci macOS.

Untuk mengelakkan pengesanan oleh alat keselamatan, beberapa sampel telah ditandatangani kod menggunakan ID Pembangun Apple atau tandatangan ad-hoc yang sah (tetapi kini dibatalkan) sebelum ini. Taktik ini membolehkan perisian hasad melepasi langkah keselamatan dan kekal tersembunyi.

Banyak Versi Perisian Hasad Realst Terbongkar dalam Serangan

Setakat ini, 16 varian berbeza Realst telah dikenal pasti. Walaupun berkongsi persamaan yang ketara dalam struktur dan fungsi, varian menggunakan set panggilan API yang berbeza. Walau apa pun, perisian hasad secara khusus menyasarkan pelayar seperti Firefox, Chrome, Opera, Brave, Vivaldi dan aplikasi Telegram. Nampaknya tiada satu pun daripada sampel Realst yang dianalisis nampaknya menyasarkan Safari.

Kebanyakan varian ini cuba mendapatkan kata laluan pengguna dengan menggunakan teknik spoofing osascript dan AppleScript. Selain itu, mereka melakukan semakan asas untuk memastikan bahawa peranti hos bukan mesin maya, menggunakan sysctl -n hw.model. Data yang dikumpul kemudiannya disimpan dalam folder bernama 'data,' yang boleh ditemui di pelbagai lokasi bergantung pada versi perisian hasad: sama ada dalam folder rumah pengguna, direktori kerja perisian hasad atau folder yang dinamakan sempena permainan induk.

Penyelidik telah mengkategorikan 16 varian berbeza ini kepada empat keluarga utama: A, B, C, dan D, berdasarkan ciri membezakannya. Kira-kira 30% daripada sampel daripada keluarga A, B dan D mengandungi rentetan yang menyasarkan macOS 14 Sonoma yang akan datang. Ini menunjukkan bahawa pengarang perisian hasad sudah bersedia untuk keluaran OS desktop Apple yang akan datang, memastikan keserasian Realst dan berfungsi secara optimum.

Memandangkan ancaman ini, pengguna macOS dinasihatkan untuk berhati-hati dengan permainan blokchain, kerana pengedar Realst mengeksploitasi saluran Discord dan akaun Twitter yang 'mengesahkan' untuk mencipta ilusi kesahihan yang mengelirukan. Berwaspada dan mengesahkan sumber muat turun permainan boleh membantu melindungi daripada perisian yang mengancam tersebut.