Realst Mac Malware
Nowe złośliwe oprogramowanie dla komputerów Mac o nazwie Realst pojawiło się w ramach masowej kampanii ataków wymierzonej w komputery Apple. Jeszcze bardziej niepokojące jest to, że niektóre z jego najnowszych wersji zostały przystosowane do wykorzystania macOS 14 Sonoma, systemu operacyjnego, który wciąż znajduje się w fazie rozwoju.
Dystrybucja tego złośliwego oprogramowania nie ogranicza się do użytkowników systemu macOS, ponieważ jego celem są również urządzenia z systemem Windows. Atakujący sprytnie ukrywają złośliwe oprogramowanie jako fałszywe gry blockchain, nadając im nazwy takie jak Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles i SaintLegend.
Aby zwabić ofiary do pobrania groźnego oprogramowania, te fałszywe gry są intensywnie promowane w mediach społecznościowych. Aktorzy zagrożeń wykorzystują bezpośrednie wiadomości do udostępniania kodów dostępu wymaganych do pobrania fałszywego klienta gry z powiązanych stron internetowych. Korzystając z tych kodów dostępu, osoby atakujące mogą starannie wybrać swoje cele i uniknąć wykrycia przez badaczy bezpieczeństwa próbujących odkryć ich niebezpieczne działania.
Rzekome instalatory gier infekują urządzenia ofiar malware zbierającym informacje. Zagrożenia specjalizują się w zbieraniu wrażliwych danych z przeglądarek internetowych ofiary i aplikacji portfela kryptowalut, wysyłając zebrane informacje bezpośrednio do cyberprzestępców.
Badacze skupili się przede wszystkim na wersjach złośliwego oprogramowania Realst dla systemu macOS i odkryli co najmniej 16 wariantów z zauważalnymi różnicami między nimi, co wskazuje na ciągły i szybki proces rozwoju.
Łańcuch ataków najprawdziwszego zagrożenia macOS Stealer
Gdy użytkownicy pobiorą fałszywą grę ze strony internetowej cyberprzestępcy, napotkają różne złośliwe oprogramowanie w zależności od systemu operacyjnego – Windows lub macOS. W przypadku użytkowników systemu Windows powszechnym dystrybuowanym złośliwym oprogramowaniem jest RedLine Stealer . Czasami jednak w grę mogą wchodzić również inne warianty złośliwego oprogramowania, takie jak Raccoon Stealer i AsyncRAT .
Z drugiej strony użytkownicy komputerów Mac zostaną zarażeni złośliwym oprogramowaniem Realst kradnącym informacje, które podszywa się pod instalatory PKG lub pliki dyskowe DMG. Te pliki rzekomo zawierają zawartość gry, ale w rzeczywistości zawierają tylko niebezpieczne pliki Mach-O bez rzeczywistych gier lub legalnego oprogramowania.
Wśród złośliwych komponentów plik „game.py” służy jako międzyplatformowy program do kradzieży informacji w Firefoksie. Jednocześnie plik „installer.py” jest oznaczony jako „chainbreaker”, przeznaczony do wyodrębniania haseł, kluczy i certyfikatów z bazy danych pęku kluczy macOS.
Aby uniknąć wykrycia przez narzędzia bezpieczeństwa, niektóre próbki zostały wspólnie zaprojektowane przy użyciu wcześniej ważnych (ale teraz unieważnionych) identyfikatorów Apple Developer ID lub podpisów ad-hoc. Ta taktyka pozwala złośliwemu oprogramowaniu ominąć środki bezpieczeństwa i pozostać w ukryciu.
Liczne realistyczne wersje złośliwego oprogramowania wykryte podczas ataków
Do tej pory zidentyfikowano 16 różnych wariantów Realsta. Chociaż mają znaczne podobieństwa w strukturze i funkcji, warianty wykorzystują różne zestawy wywołań API. Niezależnie od tego, złośliwe oprogramowanie atakuje przeglądarki takie jak Firefox, Chrome, Opera, Brave, Vivaldi i aplikację Telegram. Wygląda na to, że żadna z analizowanych próbek Realst nie była ukierunkowana na Safari.
Większość z tych wariantów próbuje uzyskać hasło użytkownika za pomocą technik fałszowania osascript i AppleScript. Ponadto przeprowadzają podstawowe kontrole, aby upewnić się, że urządzenie hosta nie jest maszyną wirtualną, wykorzystując sysctl -n hw.model. Zebrane dane są następnie przechowywane w folderze o nazwie „data”, który można znaleźć w różnych lokalizacjach w zależności od wersji złośliwego oprogramowania: w folderze domowym użytkownika, katalogu roboczym złośliwego oprogramowania lub w folderze nazwany na cześć gry nadrzędnej.
Naukowcy podzielili te 16 różnych wariantów na cztery główne rodziny: A, B, C i D, w oparciu o ich wyróżniające cechy. Około 30% próbek z rodzin A, B i D zawiera ciągi znaków, które dotyczą nadchodzącego systemu macOS 14 Sonoma. Oznacza to, że autorzy złośliwego oprogramowania już przygotowują się do nadchodzącej wersji systemu operacyjnego Apple dla komputerów stacjonarnych, zapewniając kompatybilność i optymalne działanie Realst.
Biorąc pod uwagę to zagrożenie, użytkownikom systemu macOS zaleca się zachowanie ostrożności w grach typu blockchain, ponieważ dystrybutorzy Realst wykorzystują kanały Discord i „zweryfikowane” konta na Twitterze, aby stworzyć zwodniczą iluzję legalności. Zachowanie czujności i weryfikowanie źródeł pobierania gier może pomóc w ochronie przed takim groźnym oprogramowaniem.