Realst Mac Malware

Nowe złośliwe oprogramowanie dla komputerów Mac o nazwie Realst pojawiło się w ramach masowej kampanii ataków wymierzonej w komputery Apple. Jeszcze bardziej niepokojące jest to, że niektóre z jego najnowszych wersji zostały przystosowane do wykorzystania macOS 14 Sonoma, systemu operacyjnego, który wciąż znajduje się w fazie rozwoju.

Dystrybucja tego złośliwego oprogramowania nie ogranicza się do użytkowników systemu macOS, ponieważ jego celem są również urządzenia z systemem Windows. Atakujący sprytnie ukrywają złośliwe oprogramowanie jako fałszywe gry blockchain, nadając im nazwy takie jak Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles i SaintLegend.

Aby zwabić ofiary do pobrania groźnego oprogramowania, te fałszywe gry są intensywnie promowane w mediach społecznościowych. Aktorzy zagrożeń wykorzystują bezpośrednie wiadomości do udostępniania kodów dostępu wymaganych do pobrania fałszywego klienta gry z powiązanych stron internetowych. Korzystając z tych kodów dostępu, osoby atakujące mogą starannie wybrać swoje cele i uniknąć wykrycia przez badaczy bezpieczeństwa próbujących odkryć ich niebezpieczne działania.

Rzekome instalatory gier infekują urządzenia ofiar malware zbierającym informacje. Zagrożenia specjalizują się w zbieraniu wrażliwych danych z przeglądarek internetowych ofiary i aplikacji portfela kryptowalut, wysyłając zebrane informacje bezpośrednio do cyberprzestępców.

Badacze skupili się przede wszystkim na wersjach złośliwego oprogramowania Realst dla systemu macOS i odkryli co najmniej 16 wariantów z zauważalnymi różnicami między nimi, co wskazuje na ciągły i szybki proces rozwoju.

Łańcuch ataków najprawdziwszego zagrożenia macOS Stealer

Gdy użytkownicy pobiorą fałszywą grę ze strony internetowej cyberprzestępcy, napotkają różne złośliwe oprogramowanie w zależności od systemu operacyjnego – Windows lub macOS. W przypadku użytkowników systemu Windows powszechnym dystrybuowanym złośliwym oprogramowaniem jest RedLine Stealer . Czasami jednak w grę mogą wchodzić również inne warianty złośliwego oprogramowania, takie jak Raccoon Stealer i AsyncRAT .

Z drugiej strony użytkownicy komputerów Mac zostaną zarażeni złośliwym oprogramowaniem Realst kradnącym informacje, które podszywa się pod instalatory PKG lub pliki dyskowe DMG. Te pliki rzekomo zawierają zawartość gry, ale w rzeczywistości zawierają tylko niebezpieczne pliki Mach-O bez rzeczywistych gier lub legalnego oprogramowania.

Wśród złośliwych komponentów plik „game.py” służy jako międzyplatformowy program do kradzieży informacji w Firefoksie. Jednocześnie plik „installer.py” jest oznaczony jako „chainbreaker”, przeznaczony do wyodrębniania haseł, kluczy i certyfikatów z bazy danych pęku kluczy macOS.

Aby uniknąć wykrycia przez narzędzia bezpieczeństwa, niektóre próbki zostały wspólnie zaprojektowane przy użyciu wcześniej ważnych (ale teraz unieważnionych) identyfikatorów Apple Developer ID lub podpisów ad-hoc. Ta taktyka pozwala złośliwemu oprogramowaniu ominąć środki bezpieczeństwa i pozostać w ukryciu.

Liczne realistyczne wersje złośliwego oprogramowania wykryte podczas ataków

Do tej pory zidentyfikowano 16 różnych wariantów Realsta. Chociaż mają znaczne podobieństwa w strukturze i funkcji, warianty wykorzystują różne zestawy wywołań API. Niezależnie od tego, złośliwe oprogramowanie atakuje przeglądarki takie jak Firefox, Chrome, Opera, Brave, Vivaldi i aplikację Telegram. Wygląda na to, że żadna z analizowanych próbek Realst nie była ukierunkowana na Safari.

Większość z tych wariantów próbuje uzyskać hasło użytkownika za pomocą technik fałszowania osascript i AppleScript. Ponadto przeprowadzają podstawowe kontrole, aby upewnić się, że urządzenie hosta nie jest maszyną wirtualną, wykorzystując sysctl -n hw.model. Zebrane dane są następnie przechowywane w folderze o nazwie „data”, który można znaleźć w różnych lokalizacjach w zależności od wersji złośliwego oprogramowania: w folderze domowym użytkownika, katalogu roboczym złośliwego oprogramowania lub w folderze nazwany na cześć gry nadrzędnej.

Naukowcy podzielili te 16 różnych wariantów na cztery główne rodziny: A, B, C i D, w oparciu o ich wyróżniające cechy. Około 30% próbek z rodzin A, B i D zawiera ciągi znaków, które dotyczą nadchodzącego systemu macOS 14 Sonoma. Oznacza to, że autorzy złośliwego oprogramowania już przygotowują się do nadchodzącej wersji systemu operacyjnego Apple dla komputerów stacjonarnych, zapewniając kompatybilność i optymalne działanie Realst.

Biorąc pod uwagę to zagrożenie, użytkownikom systemu macOS zaleca się zachowanie ostrożności w grach typu blockchain, ponieważ dystrybutorzy Realst wykorzystują kanały Discord i „zweryfikowane” konta na Twitterze, aby stworzyć zwodniczą iluzję legalności. Zachowanie czujności i weryfikowanie źródeł pobierania gier może pomóc w ochronie przed takim groźnym oprogramowaniem.