Realst Mac Malware

Новое вредоносное ПО для Mac под названием Realst появилось как часть масштабной кампании атак, специально нацеленной на компьютеры Apple. Что еще более тревожно, так это то, что некоторые из его последних версий были адаптированы для использования macOS 14 Sonoma, операционной системы, которая все еще находится на стадии разработки.

Распространение этой вредоносной программы не ограничивается пользователями macOS, поскольку она также нацелена на устройства Windows. Злоумышленники хитро маскируют вредоносное ПО под поддельные блокчейн-игры, давая им такие имена, как Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles и SaintLegend.

Чтобы привлечь жертв к загрузке опасного программного обеспечения, эти поддельные игры активно рекламируются в социальных сетях. Злоумышленники используют прямые сообщения для обмена кодами доступа, необходимыми для загрузки поддельного игрового клиента с соответствующих веб-сайтов. Используя эти коды доступа, злоумышленники могут тщательно выбирать свои цели и избегать обнаружения исследователями безопасности, пытающимися раскрыть их небезопасные действия.

Предполагаемые установщики игр заражают устройства жертв вредоносными программами для сбора информации. Угрозы специализируются на сборе конфиденциальных данных из веб-браузеров жертвы и приложений кошелька криптовалюты, отправляя собранную информацию непосредственно злоумышленникам.

Исследователи в первую очередь сосредоточились на версиях вредоносного ПО Realst для macOS и обнаружили не менее 16 вариантов с заметными различиями между ними, что указывает на непрерывный и быстрый процесс разработки.

Цепочка атак реальной угрозы кражи macOS

Когда пользователи загружают поддельную игру с веб-сайта злоумышленника, они сталкиваются с различными вредоносными программами в зависимости от своей операционной системы — Windows или macOS. Для пользователей Windows распространенной вредоносной программой является RedLine Stealer . Однако иногда могут быть задействованы и другие варианты вредоносных программ, такие как Raccoon Stealer и AsyncRAT .

С другой стороны, пользователи Mac будут заражены вредоносной программой для кражи информации Realst, которая маскируется под установщики PKG или дисковые файлы DMG. Эти файлы утверждают, что содержат игровой контент, но на самом деле содержат только небезопасные файлы Mach-O без реальных игр или законного программного обеспечения.

Среди вредоносных компонентов файл game.py служит кроссплатформенным похитителем информации для Firefox. В то же время «installer.py» помечен как «разрушитель цепочек», предназначенный для извлечения паролей, ключей и сертификатов из базы данных связки ключей macOS.

Чтобы избежать обнаружения инструментами безопасности, некоторые образцы были подписаны с использованием ранее действительных (но теперь отозванных) идентификаторов разработчика Apple или специальных подписей. Эта тактика позволяет вредоносным программам обходить меры безопасности и оставаться скрытыми.

Многочисленные версии Realst вредоносных программ, обнаруженные в ходе атак

На данный момент выявлено 16 различных вариантов Realst. Несмотря на значительное сходство в структуре и функциях, варианты используют разные наборы вызовов API. Несмотря на это, вредоносное ПО специально нацелено на такие браузеры, как Firefox, Chrome, Opera, Brave, Vivaldi и приложение Telegram. Похоже, что ни один из проанализированных образцов Realst не предназначен для Safari.

Большинство этих вариантов пытаются получить пароль пользователя, используя методы подделки osascript и AppleScript. Кроме того, они выполняют базовые проверки, чтобы убедиться, что хост-устройство не является виртуальной машиной, используя sysctl -n hw.model. Собранные данные затем сохраняются в папке с именем «данные», которую можно найти в разных местах в зависимости от версии вредоносного ПО: либо в домашней папке пользователя, либо в рабочем каталоге вредоносного ПО, либо в папке, названной в честь родительской игры.

Исследователи разделили эти 16 различных вариантов на четыре основных семейства: A, B, C и D, основываясь на их отличительных чертах. Приблизительно 30 % образцов из семейств A, B и D содержат строки, предназначенные для грядущей macOS 14 Sonoma. Это указывает на то, что авторы вредоносных программ уже готовятся к предстоящему выпуску ОС Apple для настольных ПК, обеспечивая совместимость и оптимальное функционирование Realst.

Учитывая эту угрозу, пользователям macOS рекомендуется проявлять осторожность с играми на блокчейне, поскольку дистрибьюторы Realst используют каналы Discord и «подтвержденные» учетные записи Twitter для создания обманчивой иллюзии легитимности. Бдительность и проверка источников загрузки игр могут помочь защититься от такого опасного программного обеспечения.