Realst Mac Malware

Nový malvér pre Mac s názvom Realst sa objavil ako súčasť masívnej útočnej kampane špecificky zameranej na počítače Apple. Ešte znepokojujúcejšie je, že niektoré z jeho najnovších verzií boli prispôsobené na využívanie operačného systému macOS 14 Sonoma, ktorý je stále vo vývojovej fáze.

Distribúcia tohto malvéru sa neobmedzuje len na používateľov macOS, keďže sa zameriava aj na zariadenia so systémom Windows. Útočníci prefíkane maskujú malvér ako falošné blockchainové hry a dávajú im mená ako Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles a SaintLegend.

Aby nalákali obete na stiahnutie hrozivého softvéru, tieto falošné hry sú silne propagované na sociálnych médiách. Aktéri hrozby využívajú priame správy na zdieľanie prístupových kódov potrebných na stiahnutie falošného herného klienta z pridružených webových stránok. Pomocou týchto prístupových kódov môžu útočníci starostlivo vybrať svoje ciele a vyhnúť sa odhaleniu bezpečnostnými výskumníkmi, ktorí sa pokúšajú odhaliť ich nebezpečné aktivity.

Predpokladaní inštalátori hier infikujú zariadenia obetí malvérom zbierajúcim informácie. Hrozby sa špecializujú na zhromažďovanie citlivých údajov z webových prehliadačov obetí a aplikácií kryptomenových peňaženiek, pričom zozbierané informácie posielajú priamo aktérom hrozby.

Výskumníci sa primárne zamerali na verzie macOS malvéru Realst a objavili najmenej 16 variantov s výraznými rozdielmi medzi nimi, čo naznačuje prebiehajúci a rýchly vývojový proces.

Útočný reťazec skutočnej hrozby zlodeja macOS

Keď si používatelia stiahnu falošnú hru z webovej stránky aktéra hrozby, narazia na iný malvér založený na ich operačnom systéme – buď Windows alebo macOS. Pre používateľov systému Windows je bežným distribuovaným škodlivým softvérom RedLine Stealer . Niekedy však môžu byť zahrnuté aj iné varianty škodlivého softvéru, ako sú Raccoon Stealer a AsyncRAT .

Na druhej strane, používatelia počítačov Mac budú infikovaní malvérom Realst info-stealing, ktorý sa maskuje ako inštalátory PKG alebo súbory na disku DMG. Tieto súbory tvrdia, že obsahujú herný obsah, ale v skutočnosti obsahujú iba nebezpečné súbory Mach-O bez skutočných hier alebo legitímneho softvéru.

Medzi škodlivými komponentmi je súbor 'game.py', ktorý slúži ako multiplatformový Firefox infostealer. Zároveň je 'installer.py' označený ako 'chainbreaker', ktorý je určený na extrahovanie hesiel, kľúčov a certifikátov z databázy macOS keychain.

Aby sa predišlo detekcii bezpečnostnými nástrojmi, niektoré vzorky boli navrhnuté s použitím predtým platných (ale teraz zrušených) Apple Developer ID alebo ad-hoc podpisov. Táto taktika umožňuje malvéru prejsť cez bezpečnostné opatrenia a zostať skrytý.

Početné skutočné verzie malvéru odhalené pri útokoch

Doteraz bolo identifikovaných 16 rôznych variantov Realst. Napriek tomu, že zdieľajú významné podobnosti v štruktúre a funkcii, varianty využívajú rôzne sady volaní API. Bez ohľadu na to sa malvér konkrétne zameriava na prehliadače ako Firefox, Chrome, Opera, Brave, Vivaldi a aplikácia Telegram. Zdá sa, že žiadna z analyzovaných vzoriek Realst sa nezameriava na Safari.

Väčšina z týchto variantov sa pokúša získať heslo používateľa pomocou techník spoofingu osascript a AppleScript. Okrem toho vykonávajú základné kontroly, aby sa ubezpečili, že hostiteľské zariadenie nie je virtuálny stroj pomocou sysctl -n hw.model. Zhromaždené údaje sa potom uložia do priečinka s názvom „data“, ktorý možno nájsť na rôznych miestach v závislosti od verzie škodlivého softvéru: buď v domovskom priečinku používateľa, pracovnom adresári škodlivého softvéru alebo priečinku pomenovanom po materskej hre.

Výskumníci kategorizovali týchto 16 odlišných variantov do štyroch hlavných rodín: A, B, C a D na základe ich charakteristických čŕt. Približne 30 % vzoriek z rodín A, B a D obsahuje reťazce, ktoré sa zameriavajú na nadchádzajúci macOS 14 Sonoma. To naznačuje, že autori malvéru sa už pripravujú na nadchádzajúce vydanie operačného systému Apple pre stolné počítače, čím sa zabezpečí kompatibilita a optimálne fungovanie Realstu.

Vzhľadom na túto hrozbu sa používateľom MacOS odporúča, aby boli opatrní pri blockchainových hrách, pretože distribútori Realst využívajú kanály Discord a „overené“ účty na Twitteri, aby vytvorili klamlivú ilúziu legitimity. Ostražitosť a overovanie zdrojov sťahovania hier môže pomôcť chrániť sa pred takýmto hrozivým softvérom.