Realst Mac Malware

Um novo malware para o Mac chamado Realst surgiu como parte de uma campanha de ataque massivo visando especificamente os computadores da Apple. O que é ainda mais preocupante é que algumas de suas versões mais recentes foram adaptadas para explorar o macOS 14 Sonoma, um sistema operacional ainda em fase de desenvolvimento.

A distribuição desse malware não se limita aos usuários do macOS, pois também tem como alvo os dispositivos Windows. Os atacantes estão disfarçando o malware como falsos jogos de blockchain, dando-lhes nomes como Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles e SaintLegend.

Para induzir as vítimas a baixar o software ameaçador, esses jogos falsos são fortemente promovidos nas mídias sociais. Os agentes de ameaças empregam mensagens diretas para compartilhar códigos de acesso necessários para baixar o cliente de jogo falso de sites associados. Ao usar esses códigos de acesso, os invasores podem selecionar cuidadosamente seus alvos e evitar a detecção por pesquisadores de segurança que tentam descobrir suas atividades inseguras.

Os supostos instaladores de jogos infectam os dispositivos das vítimas com malware de coleta de informações. As ameaças são especializadas na coleta de dados confidenciais dos navegadores da Web e aplicativos de carteira de criptomoedas da vítima, enviando as informações coletadas diretamente aos agentes da ameaça.

Os pesquisadores se concentraram principalmente nas versões macOS do malware Realst e descobriram pelo menos 16 variantes com diferenças notáveis entre elas, indicando um processo de desenvolvimento contínuo e acelerado.

A Cadeia de Ataque da Ameaça Realst macOS Stealer

Quando os usuários baixam o jogo falso do site do agente da ameaça, eles encontram malwares diferentes com base em seu sistema operacional – Windows ou macOS. Para usuários do Windows, o malware comum distribuído é o RedLine Stealer. No entanto, às vezes, outras variantes de malware como Raccoon Stealer e AsyncRAT também podem estar envolvidas.

Por outro lado, os usuários de Mac serão infectados com o malware de roubo de informações Realst, disfarçado como instaladores PKG ou arquivos de disco DMG. Esses arquivos afirmam conter conteúdo de jogo, mas, na realidade, apenas abrigam arquivos Mach-O inseguros, sem jogos reais ou software legítimo.

Entre os componentes maliciosos, o arquivo 'game.py' serve como um infostealer de plataforma cruzada do Firefox. Ao mesmo tempo, o 'installer.py' é rotulado como 'chainbreaker', projetado para extrair senhas, chaves e certificados do banco de dados de chaves do macOS.

Para evitar a detecção por ferramentas de segurança, algumas amostras foram coprojetadas usando IDs de desenvolvedor da Apple válidos anteriormente (mas agora revogados) ou assinaturas ad hoc. Essa tática permite que o malware passe pelas medidas de segurança e permaneça oculto.

Inúmeras Versões Reais de Malware Descobertas em Ataques

Até agora, 16 variantes distintas do Realst foram identificadas. Embora compartilhem semelhanças significativas em estrutura e função, as variantes empregam diferentes conjuntos de chamadas de API. Independentemente disso, o malware visa especificamente navegadores como Firefox, Chrome, Opera, Brave, Vivaldi e o aplicativo Telegram. Parece que nenhuma das amostras Realst analisadas parece ter como alvo o Safari.

A maioria dessas variantes tenta obter a senha do usuário usando técnicas de falsificação de osascript e AppleScript. Além disso, eles executam verificações básicas para garantir que o dispositivo host não seja uma máquina virtual, empregando o sysctl -n hw.model. Os dados coletados são armazenados em uma pasta chamada 'data', que pode ser encontrada em vários locais, dependendo da versão do malware: na pasta inicial do usuário, no diretório de trabalho do malware ou em uma pasta com o nome do jogo pai.

Os pesquisadores categorizaram essas 16 variantes distintas em quatro famílias principais: A, B, C e D, com base em suas características distintivas. Aproximadamente 30% das amostras das famílias A, B e D contêm strings que visam o próximo macOS 14 Sonoma. Isso indica que os autores do malware já estão se preparando para o próximo lançamento do sistema operacional de desktop da Apple, garantindo a compatibilidade e o funcionamento ideal do Realst.

Diante dessa ameaça, os usuários do macOS são aconselhados a ter cuidado com os jogos blockchain, pois os distribuidores da Realst exploram os canais Discord e as contas 'verificadas' do Twitter para criar uma ilusão enganosa de legitimidade. Estar vigilante e verificar as fontes de downloads de jogos pode ajudar a proteger contra esse software ameaçador.