Realst Mac Malware

En ny Mac-malware kalt Realst har dukket opp som en del av en massiv angrepskampanje spesifikt rettet mot Apple-datamaskiner. Det som er enda mer bekymringsfullt er at noen av de nyeste versjonene har blitt tilpasset for å utnytte macOS 14 Sonoma, et operativsystem som fortsatt er i utviklingsstadiet.

Distribusjonen av denne skadelige programvaren er ikke begrenset til macOS-brukere, siden den også er rettet mot Windows-enheter. Angriperne skjuler på snedig vis skadevaren som falske blokkjedespill, og gir dem navn som Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles og SaintLegend.

For å lokke ofre til å laste ned den truende programvaren, markedsføres disse falske spillene kraftig på sosiale medier. Trusselaktørene bruker direktemeldinger for å dele tilgangskoder som kreves for å laste ned den falske spillklienten fra tilknyttede nettsteder. Ved å bruke disse tilgangskodene kan angriperne nøye velge sine mål og unngå oppdagelse av sikkerhetsforskere som prøver å avdekke deres utrygge aktiviteter.

De antatte spillinstallatørene infiserer ofrenes enheter med informasjonsinnhentende skadelig programvare. Truslene spesialiserer seg på å samle inn sensitive data fra offerets nettlesere og cryptocurrency-lommebokapplikasjoner, og sende den innsamlede informasjonen direkte til trusselaktørene.

Forskerne fokuserte først og fremst på macOS-versjonene av Realst malware og oppdaget minst 16 varianter med bemerkelsesverdige forskjeller mellom dem, noe som indikerer en pågående og fartsfylt utviklingsprosess.

Attack Chain of the Realst macOS Stealer Threat

Når brukere laster ned det falske spillet fra trusselaktørens nettsted, vil de møte forskjellig skadelig programvare basert på operativsystemet deres – enten Windows eller macOS. For Windows-brukere er den vanlige skadevare som distribueres RedLine Stealer . Men til tider kan andre malware-varianter som Raccoon Stealer og AsyncRAT også være involvert.

På den annen side vil Mac-brukere bli infisert med Realst info-stjele malware, som er forkledd som PKG-installatører eller DMG-diskfiler. Disse filene hevder å inneholde spillinnhold, men i virkeligheten inneholder de bare usikre Mach-O-filer uten faktiske spill eller legitim programvare.

Blant de ondsinnede komponentene fungerer 'game.py'-filen som en Firefox infostealer på tvers av plattformer. Samtidig er 'installer.py' merket som 'kjedebryter', designet for å trekke ut passord, nøkler og sertifikater fra macOS nøkkelringdatabasen.

For å unngå oppdagelse av sikkerhetsverktøy, ble noen prøver samdesignet ved å bruke tidligere gyldige (men nå tilbakekalte) Apple-utvikler-IDer eller ad-hoc-signaturer. Denne taktikken lar skadelig programvare gli forbi sikkerhetstiltak og forbli skjult.

Tallrike Realst Malware-versjoner avdekket i angrep

Så langt har 16 forskjellige varianter av Realst blitt identifisert. Selv om de deler betydelige likheter i struktur og funksjon, bruker variantene forskjellige API-anropssett. Uansett er skadelig programvare spesifikt rettet mot nettlesere som Firefox, Chrome, Opera, Brave, Vivaldi og Telegram-appen. Det ser ut til at ingen av de analyserte Realst-prøvene ser ut til å målrette mot Safari.

De fleste av disse variantene prøver å skaffe brukerens passord ved å bruke osascript og AppleScript-spoofing-teknikker. I tillegg utfører de grunnleggende kontroller for å sikre at vertsenheten ikke er en virtuell maskin, ved å bruke sysctl -n hw.model. De innsamlede dataene lagres deretter i en mappe som heter 'data', som kan finnes på forskjellige steder avhengig av malware-versjonen: enten i brukerens hjemmemappe, skadelig programvares arbeidskatalog eller en mappe oppkalt etter foreldrespillet.

Forskere har kategorisert disse 16 distinkte variantene i fire hovedfamilier: A, B, C og D, basert på deres kjennetegn. Omtrent 30 % av prøvene fra familie A, B og D inneholder strenger som er rettet mot den kommende macOS 14 Sonoma. Dette indikerer at skadevareforfatterne allerede forbereder seg på Apples kommende OS-utgivelse for skrivebordet, og sikrer Realsts kompatibilitet og optimal funksjon.

Gitt denne trusselen, rådes macOS-brukere til å utvise forsiktighet med blokkjedespill, ettersom distributørene av Realst utnytter Discord-kanaler og "verifiserte" Twitter-kontoer for å skape en villedende illusjon av legitimitet. Å være på vakt og verifisere kildene til spillnedlastinger kan bidra til å beskytte mot slik truende programvare.