Zlonamerna programska oprema Realst Mac

Nova zlonamerna programska oprema Mac z imenom Realst se je pojavila kot del obsežne napadalne kampanje, ki cilja posebej na računalnike Apple. Še bolj zaskrbljujoče je, da so bile nekatere njegove najnovejše različice prilagojene za izkoriščanje macOS 14 Sonoma, operacijskega sistema, ki je še vedno v razvojni fazi.

Distribucija te zlonamerne programske opreme ni omejena na uporabnike macOS, saj cilja tudi na naprave Windows. Napadalci zlonamerno programsko opremo premeteno prikrivajo kot lažne igre blockchain in jim dajejo imena, kot so Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles in SaintLegend.

Da bi žrtve zvabili v prenos nevarne programske opreme, se te lažne igre močno promovirajo na družbenih medijih. Akterji groženj uporabljajo neposredna sporočila za izmenjavo kod za dostop, ki so potrebne za prenos lažnega odjemalca igre s povezanih spletnih mest. Z uporabo teh kod za dostop lahko napadalci skrbno izberejo svoje tarče in se izognejo varnostnim raziskovalcem, ki poskušajo odkriti njihove nevarne dejavnosti.

Domnevni namestitveni programi iger okužijo naprave žrtev z zlonamerno programsko opremo za zbiranje informacij. Grožnje so specializirane za zbiranje občutljivih podatkov iz žrtvinih spletnih brskalnikov in aplikacij denarnic za kriptovalute, pri čemer zbrane informacije pošiljajo neposredno akterjem groženj.

Raziskovalci so se osredotočili predvsem na različice zlonamerne programske opreme Realst za macOS in odkrili vsaj 16 različic z opaznimi razlikami med njimi, kar kaže na stalen in hiter razvojni proces.

Veriga napadov Realst macOS Stealer Threat

Ko uporabniki prenesejo lažno igro s spletnega mesta akterja grožnje, bodo naleteli na različno zlonamerno programsko opremo, ki temelji na njihovem operacijskem sistemu – Windows ali macOS. Za uporabnike sistema Windows je pogosta zlonamerna programska oprema, ki se distribuira, RedLine Stealer . Vendar pa so včasih lahko vpletene tudi druge različice zlonamerne programske opreme, kot sta Raccoon Stealer in AsyncRAT .

Po drugi strani pa bodo uporabniki Maca okuženi z zlonamerno programsko opremo Realst za krajo informacij, ki je prikrita kot namestitveni programi PKG ali diskovne datoteke DMG. Te datoteke trdijo, da vsebujejo vsebino iger, v resnici pa samo nevarne datoteke Mach-O brez dejanskih iger ali zakonite programske opreme.

Med zlonamernimi komponentami je datoteka 'game.py' služila kot večplatformni Firefox infostealer. Hkrati je »installer.py« označen kot »chainbreaker«, zasnovan tako, da ekstrahira gesla, ključe in potrdila iz baze podatkov macOS keychain.

Da bi se izognili zaznavanju varnostnih orodij, so bili nekateri vzorci kodno oblikovani z uporabo predhodno veljavnih (vendar preklicanih) ID-jev razvijalca Apple ali ad-hoc podpisov. Ta taktika omogoča zlonamerni programski opremi, da se izmuzne varnostnim ukrepom in ostane skrita.

V napadih so bile odkrite številne različice zlonamerne programske opreme Realst

Doslej je bilo identificiranih 16 različnih različic Realsta. Čeprav si delijo pomembne podobnosti v strukturi in funkciji, različice uporabljajo različne nize klicev API. Ne glede na to zlonamerna programska oprema posebej cilja na brskalnike, kot so Firefox, Chrome, Opera, Brave, Vivaldi in aplikacija Telegram. Zdi se, da nobeden od analiziranih vzorcev Realst ne cilja na Safari.

Večina teh različic poskuša pridobiti uporabniško geslo z uporabo tehnik ponarejanja osascript in AppleScript. Poleg tega izvajajo osnovna preverjanja, da zagotovijo, da gostiteljska naprava ni virtualni stroj, pri čemer uporabljajo sysctl -n hw.model. Zbrani podatki se nato shranijo v mapo z imenom »podatki«, ki jo je mogoče najti na različnih lokacijah, odvisno od različice zlonamerne programske opreme: v domači mapi uporabnika, delovnem imeniku zlonamerne programske opreme ali v mapi, poimenovani po nadrejeni igri.

Raziskovalci so razvrstili teh 16 različnih variant v štiri glavne družine: A, B, C in D, na podlagi njihovih razlikovalnih lastnosti. Približno 30 % vzorcev iz družin A, B in D vsebuje nize, ki ciljajo na prihajajoči macOS 14 Sonoma. To pomeni, da se avtorji zlonamerne programske opreme že pripravljajo na prihodnjo izdajo Applovega namiznega operacijskega sistema, ki zagotavlja združljivost in optimalno delovanje Realsta.

Glede na to grožnjo se uporabnikom macOS svetuje, naj bodo previdni pri igrah blockchain, saj distributerji Realst izkoriščajo kanale Discord in 'preverjene' račune Twitter, da ustvarijo varljivo iluzijo legitimnosti. Če ste pozorni in preverjate vire prenosov iger, lahko pomagate pri zaščiti pred tako grozečo programsko opremo.