Realst Mac Malware

Een nieuwe Mac-malware genaamd Realst is opgedoken als onderdeel van een massale aanvalscampagne die specifiek gericht is op Apple-computers. Wat nog zorgwekkender is, is dat sommige van de nieuwste versies zijn aangepast om gebruik te maken van macOS 14 Sonoma, een besturingssysteem dat zich nog in de ontwikkelingsfase bevindt.

De verspreiding van deze malware is niet beperkt tot macOS-gebruikers, maar richt zich ook op Windows-apparaten. De aanvallers vermommen de malware op sluwe wijze als nep-blockchain-games en geven ze namen als Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles en SaintLegend.

Om slachtoffers te verleiden tot het downloaden van de bedreigende software, worden deze nepspellen zwaar gepromoot op sociale media. De aanvallers gebruiken directe berichten om toegangscodes te delen die nodig zijn voor het downloaden van de nep-gameclient van bijbehorende websites. Door deze toegangscodes te gebruiken, kunnen de aanvallers hun doelwitten zorgvuldig selecteren en detectie voorkomen door beveiligingsonderzoekers die hun onveilige activiteiten proberen te ontdekken.

De vermeende installatieprogramma's van de game infecteren de apparaten van de slachtoffers met malware die informatie verzamelt. De bedreigingen zijn gespecialiseerd in het verzamelen van gevoelige gegevens van de webbrowsers van het slachtoffer en cryptocurrency-portemonnee-applicaties, en sturen de verzamelde informatie rechtstreeks naar de bedreigingsactoren.

De onderzoekers richtten zich voornamelijk op de macOS-versies van de Realst-malware en ontdekten ten minste 16 varianten met opmerkelijke onderlinge verschillen, wat wijst op een voortdurend en snel ontwikkelingsproces.

Aanvalsketen van de echte macOS Stealer-dreiging

Wanneer gebruikers de nep-game downloaden van de website van de bedreigingsactor, zullen ze verschillende malware tegenkomen op basis van hun besturingssysteem: Windows of macOS. Voor Windows-gebruikers is RedLine Stealer de meest voorkomende malware die wordt verspreid. Soms zijn er echter ook andere malwarevarianten, zoals Raccoon Stealer en AsyncRAT, bij betrokken.

Aan de andere kant zullen Mac-gebruikers worden geïnfecteerd met de Realst-malware die informatie steelt, die is vermomd als PKG-installatieprogramma's of DMG-schijfbestanden. Deze bestanden beweren game-inhoud te bevatten, maar bevatten in werkelijkheid alleen onveilige Mach-O-bestanden zonder echte games of legitieme software.

Onder de kwaadaardige componenten dient het 'game.py'-bestand als een platformonafhankelijke Firefox-infostealer. Tegelijkertijd wordt de 'installer.py' gelabeld als 'chainbreaker', ontworpen om wachtwoorden, sleutels en certificaten uit de macOS-sleutelhangerdatabase te extraheren.

Om detectie door beveiligingstools te omzeilen, zijn sommige voorbeelden samen ontworpen met voorheen geldige (maar nu ingetrokken) Apple Developer ID's of ad-hoc handtekeningen. Door deze tactiek kan de malware langs beveiligingsmaatregelen glippen en verborgen blijven.

Talrijke Realst Malware-versies ontdekt in aanvallen

Tot nu toe zijn er 16 verschillende varianten van Realst geïdentificeerd. Hoewel ze qua structuur en functie aanzienlijke overeenkomsten vertonen, maken de varianten gebruik van verschillende API-aanroepsets. Hoe dan ook, de malware richt zich specifiek op browsers zoals Firefox, Chrome, Opera, Brave, Vivaldi en de Telegram-app. Het lijkt erop dat geen van de geanalyseerde Realst-samples zich op Safari lijkt te richten.

De meeste van deze varianten proberen het wachtwoord van de gebruiker te achterhalen met behulp van osascript- en AppleScript-spoofingtechnieken. Bovendien voeren ze basiscontroles uit om ervoor te zorgen dat het hostapparaat geen virtuele machine is, waarbij ze het sysctl -n hw.model gebruiken. De verzamelde gegevens worden vervolgens opgeslagen in een map met de naam 'data', die op verschillende locaties kan worden gevonden, afhankelijk van de malwareversie: in de thuismap van de gebruiker, de werkmap van de malware of een map die is vernoemd naar de hoofdgame.

Onderzoekers hebben deze 16 verschillende varianten ingedeeld in vier hoofdfamilies: A, B, C en D, op basis van hun onderscheidende kenmerken. Ongeveer 30% van de voorbeelden uit de families A, B en D bevatten tekenreeksen die gericht zijn op de aankomende macOS 14 Sonoma. Dit geeft aan dat de malware-auteurs zich al voorbereiden op Apple's aanstaande desktop OS-release, waardoor de compatibiliteit en optimale werking van Realst wordt gegarandeerd.

Gezien deze dreiging wordt macOS-gebruikers geadviseerd om voorzichtig te zijn met blockchain-games, aangezien de distributeurs van Realst Discord-kanalen en 'geverifieerde' Twitter-accounts misbruiken om een misleidende illusie van legitimiteit te creëren. Waakzaam zijn en de bronnen van gamedownloads verifiëren, kan helpen beschermen tegen dergelijke bedreigende software.