Realst Mac Malware

Një malware i ri Mac i quajtur Realst është shfaqur si pjesë e një fushate sulmi masive që synon posaçërisht kompjuterët Apple. Ajo që është edhe më shqetësuese është se disa nga versionet e tij më të fundit janë përshtatur për të shfrytëzuar macOS 14 Sonoma, një sistem operativ ende në fazën e zhvillimit.

Shpërndarja e këtij malware nuk kufizohet vetëm tek përdoruesit e macOS, pasi synon edhe pajisjet Windows. Sulmuesit po maskojnë me dinakëri malware si lojëra të rreme blockchain, duke u dhënë atyre emra si Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles dhe SaintLegend.

Për të joshur viktimat që të shkarkojnë softuerin kërcënues, këto lojëra të rreme promovohen shumë në mediat sociale. Aktorët e kërcënimit përdorin mesazhe të drejtpërdrejta për të ndarë kodet e aksesit të kërkuara për shkarkimin e klientit të lojës së rreme nga faqet e internetit të lidhura. Duke përdorur këto kode aksesi, sulmuesit mund të zgjedhin me kujdes objektivat e tyre dhe të shmangin zbulimin nga studiuesit e sigurisë që përpiqen të zbulojnë aktivitetet e tyre të pasigurta.

Instaluesit e supozuar të lojës infektojnë pajisjet e viktimave me malware që mbledhin informacion. Kërcënimet specializohen në mbledhjen e të dhënave të ndjeshme nga shfletuesit e uebit të viktimës dhe aplikacionet e portofolit të kriptomonedhave, duke i dërguar informacionin e mbledhur drejtpërdrejt aktorëve të kërcënimit.

Studiuesit u fokusuan kryesisht në versionet macOS të malware Realst dhe zbuluan të paktën 16 variante me dallime të dukshme midis tyre, duke treguar një proces zhvillimi të vazhdueshëm dhe me ritëm të shpejtë.

Zinxhiri i sulmit të kërcënimit të vjedhësit të macOS Realst

Kur përdoruesit e shkarkojnë lojën e rreme nga faqja e internetit e aktorit të kërcënimit, ata do të hasin malware të ndryshëm bazuar në sistemin e tyre operativ – ose Windows ose macOS. Për përdoruesit e Windows, malware i zakonshëm që shpërndahet është RedLine Stealer . Sidoqoftë, ndonjëherë, variante të tjera malware si Raccoon Stealer dhe AsyncRAT gjithashtu mund të përfshihen.

Nga ana tjetër, përdoruesit e Mac do të infektohen me malware që vjedh informacionin Realst, i cili është i maskuar si instalues PKG ose skedarë disk DMG. Këta skedarë pretendojnë se përmbajnë përmbajtje të lojës, por, në realitet, përmbajnë vetëm skedarë të pasigurt Mach-O pa lojëra aktuale ose softuer legjitim.

Midis komponentëve me qëllim të keq, skedari 'game.py' shërben si një vjedhës informacioni i Firefox-it ndër-platformë. Në të njëjtën kohë, 'installer.py' është etiketuar si 'chainbreaker', i krijuar për të nxjerrë fjalëkalime, çelësa dhe certifikata nga baza e të dhënave macOS.

Për të shmangur zbulimin nga mjetet e sigurisë, disa mostra u kodifikuan duke përdorur ID-të e Zhvilluesve të Apple ose nënshkrime ad-hoc të vlefshme më parë (por tani të revokuara). Kjo taktikë lejon që malware të kalojë masat e sigurisë dhe të mbetet i fshehur.

Versione të shumta Malware Realst të zbuluara në Sulmet

Deri më tani, janë identifikuar 16 variante të dallueshme të Realst. Edhe pse ndajnë ngjashmëri të konsiderueshme në strukturë dhe funksion, variantet përdorin grupe të ndryshme thirrjesh API. Pavarësisht, malware synon në mënyrë specifike shfletues si Firefox, Chrome, Opera, Brave, Vivaldi dhe aplikacioni Telegram. Duket se asnjë nga mostrat e analizuara të Realst nuk duket se synon Safari.

Shumica e këtyre varianteve përpiqen të marrin fjalëkalimin e përdoruesit duke përdorur teknikat e mashtrimit të osascript dhe AppleScript. Përveç kësaj, ata kryejnë kontrolle bazë për të siguruar që pajisja pritës nuk është një makinë virtuale, duke përdorur sysctl -n hw.model. Të dhënat e mbledhura më pas ruhen në një dosje të quajtur 'të dhëna', e cila mund të gjendet në vende të ndryshme në varësi të versionit të malware: ose në dosjen kryesore të përdoruesit, në dosjen e punës së malware ose në një dosje me emrin e lojës mëmë.

Studiuesit i kanë kategorizuar këto 16 variante të dallueshme në katër familje kryesore: A, B, C dhe D, bazuar në tiparet e tyre dalluese. Përafërsisht 30% e mostrave nga familjet A, B dhe D përmbajnë vargje që synojnë macOS 14 Sonoma të ardhshme. Kjo tregon se autorët e malware tashmë po përgatiten për lëshimin e ardhshëm të OS desktop të Apple, duke siguruar përputhshmërinë dhe funksionimin optimal të Realst.

Duke pasur parasysh këtë kërcënim, përdoruesit e macOS këshillohen të tregojnë kujdes me lojërat blockchain, pasi shpërndarësit e Realst shfrytëzojnë kanalet Discord dhe 'verifikojnë' llogaritë e Twitter për të krijuar një iluzion mashtrues legjitimiteti. Të qenit vigjilent dhe verifikimi i burimeve të shkarkimeve të lojërave mund të ndihmojë në mbrojtjen kundër softuerëve të tillë kërcënues.