Realst Mac Malware

Un nou program malware pentru Mac numit Realst a apărut ca parte a unei campanii masive de atac care vizează în mod special computerele Apple. Ceea ce este și mai îngrijorător este că unele dintre cele mai recente versiuni ale sale au fost adaptate pentru a exploata macOS 14 Sonoma, un sistem de operare încă în stadiu de dezvoltare.

Distribuția acestui malware nu se limitează la utilizatorii macOS, deoarece vizează și dispozitivele Windows. Atacatorii maschează cu viclenie malware-ul în jocuri blockchain false, dându-le nume precum Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles și SaintLegend.

Pentru a atrage victimele să descarce software-ul amenințător, aceste jocuri false sunt puternic promovate pe rețelele sociale. Actorii amenințărilor folosesc mesaje directe pentru a partaja codurile de acces necesare pentru descărcarea clientului de joc fals de pe site-urile web asociate. Folosind aceste coduri de acces, atacatorii își pot selecta cu atenție țintele și pot evita detectarea de către cercetătorii de securitate care încearcă să-și descopere activitățile nesigure.

Presupusii instalatori de jocuri infectează dispozitivele victimelor cu programe malware care colectează informații. Amenințările sunt specializate în colectarea de date sensibile din browserele Web ale victimei și din aplicațiile portofel de criptomonede, trimițând informațiile colectate direct actorilor amenințărilor.

Cercetătorii s-au concentrat în primul rând pe versiunile macOS ale programului malware Realst și au descoperit cel puțin 16 variante cu diferențe notabile între ele, indicând un proces de dezvoltare în curs de desfășurare și cu ritm rapid.

Lanțul de atac al amenințării Realst macOS Stealer

Când utilizatorii descarcă jocul fals de pe site-ul web al actorului amenințării, ei vor întâlni diferite programe malware în funcție de sistemul lor de operare – fie Windows, fie macOS. Pentru utilizatorii de Windows, malware-ul comun distribuit este RedLine Stealer . Cu toate acestea, uneori, pot fi implicate și alte variante de malware precum Raccoon Stealer și AsyncRAT .

Pe de altă parte, utilizatorii de Mac vor fi infectați cu malware-ul Realst de furt de informații, care este deghizat în programe de instalare PKG sau fișiere de disc DMG. Aceste fișiere pretind că conțin conținut de joc, dar, în realitate, găzduiesc doar fișiere Mach-O nesigure, fără jocuri reale sau software legitim.

Printre componentele rău intenționate, fișierul „game.py” servește ca un infostealer Firefox multiplatform. În același timp, „installer.py” este etichetat ca „chainbreaker”, conceput pentru a extrage parole, chei și certificate din baza de date a brelocului macOS.

Pentru a evita detectarea de către instrumentele de securitate, unele mostre au fost proiectate în comun folosind ID-uri de dezvoltator Apple sau semnături ad-hoc valide anterior (dar acum revocate). Această tactică permite malware-ului să treacă peste măsurile de securitate și să rămână ascuns.

Numeroase versiuni de malware Realst descoperite în atacuri

Până în prezent, au fost identificate 16 variante distincte de Realst. Deși au similarități semnificative în structură și funcție, variantele folosesc seturi de apeluri API diferite. Indiferent, malware-ul vizează în mod special browsere precum Firefox, Chrome, Opera, Brave, Vivaldi și aplicația Telegram. Se pare că niciunul dintre mostrele Realst analizate nu pare să vizeze Safari.

Cele mai multe dintre aceste variante încearcă să obțină parola utilizatorului utilizând tehnici de falsificare osascript și AppleScript. În plus, efectuează verificări de bază pentru a se asigura că dispozitivul gazdă nu este o mașină virtuală, utilizând sysctl -n hw.model. Datele colectate sunt apoi stocate într-un folder numit „date”, care poate fi găsit în diferite locații, în funcție de versiunea programului malware: fie în folderul principal al utilizatorului, fie în directorul de lucru al malware-ului, fie într-un folder numit după jocul părinte.

Cercetătorii au clasificat aceste 16 variante distincte în patru familii principale: A, B, C și D, pe baza trăsăturilor lor distinctive. Aproximativ 30% dintre mostrele din familiile A, B și D conțin șiruri care vizează viitorul macOS 14 Sonoma. Acest lucru indică faptul că autorii de programe malware se pregătesc deja pentru viitoarea lansare a sistemului de operare desktop de la Apple, asigurând compatibilitatea Realst și funcționarea optimă.

Având în vedere această amenințare, utilizatorii macOS sunt sfătuiți să fie precauți cu jocurile blockchain, deoarece distribuitorii Realst exploatează canalele Discord și conturile de Twitter „verificate” pentru a crea o iluzie înșelătoare a legitimității. A fi vigilent și a verifica sursele de descărcare a jocurilor poate ajuta la protejarea împotriva unor astfel de software-uri amenințătoare.