Realst Mac Malware

Нови Мац малвер под називом Реалст појавио се као део масовне кампање напада која је посебно циљала Аппле рачунаре. Оно што је још више забрињавајуће је да су неке од његових најновијих верзија прилагођене да искористе мацОС 14 Сонома, оперативни систем који је још у фази развоја.

Дистрибуција овог малвера није ограничена на кориснике мацОС-а, јер циља и на Виндовс уређаје. Нападачи лукаво прикривају малвер у лажне блокчејн игре, дајући им имена као што су Бравл Еартх, ВилдВорлд, Давнланд, Деструцтион, Еволион, Пеарл, Олимп оф Рептилес и СаинтЛегенд.

Да би намамили жртве да преузму претећи софтвер, ове лажне игре се увелико промовишу на друштвеним медијима. Актери претњи користе директне поруке за дељење приступних кодова потребних за преузимање лажног клијента игре са повезаних веб локација. Коришћењем ових приступних кодова, нападачи могу пажљиво да изаберу своје мете и избегну откривање од стране истраживача безбедности који покушавају да открију њихове небезбедне активности.

Наводни инсталатери игара инфицирају уређаје жртава малвером за прикупљање информација. Претње су специјализоване за прикупљање осетљивих података из веб претраживача жртве и апликација новчаника за криптовалуте, шаљући прикупљене информације директно актерима претњи.

Истраживачи су се првенствено фокусирали на мацОС верзије малвера Реалст и открили најмање 16 варијанти са значајним разликама између њих, што указује на текући и брз развојни процес.

Ланац напада Реалст претње крадљиваца мацОС-а

Када корисници преузму лажну игру са веб локације актера претњи, наићи ће на различите малвере засноване на њиховом оперативном систему – било Виндовс или мацОС. За кориснике Виндовс-а, уобичајени малвер који се дистрибуира је РедЛине Стеалер . Међутим, понекад могу бити укључене и друге варијанте злонамерног софтвера као што су Раццоон Стеалер и АсинцРАТ .

С друге стране, корисници Мац-а ће бити заражени малвером за крађу информација Реалст, који је прерушен у ПКГ инсталатере или датотеке ДМГ диска. Ове датотеке тврде да садрже садржај игре, али у стварности садрже само несигурне Мацх-О датотеке без стварних игара или легитимног софтвера.

Међу злонамерним компонентама, датотека 'гаме.пи' служи као крађа информација за Фирефок на више платформи. У исто време, 'инсталлер.пи' је означен као 'цхаинбреакер', дизајниран за издвајање лозинки, кључева и сертификата из мацОС базе података кључева.

Да би се избегло откривање од стране безбедносних алата, неки узорци су кодирани коришћењем претходно важећих (али сада опозваних) Аппле ИД-ова програмера или ад-хоц потписа. Ова тактика омогућава злонамерном софтверу да прође мимо безбедносних мера и остане скривен.

Бројне реалст верзије малвера откривене у нападима

До сада је идентификовано 16 различитих варијанти Реалста. Иако деле значајне сличности у структури и функцији, варијанте користе различите скупове АПИ позива. Без обзира на то, злонамерни софтвер посебно циља претраживаче као што су Фирефок, Цхроме, Опера, Браве, Вивалди и апликација Телеграм. Чини се да ниједан од анализираних Реалст узорака не циља на Сафари.

Већина ових варијанти покушава да добије корисничку лозинку коришћењем осасцрипт и АпплеСцрипт техника лажирања. Поред тога, они врше основне провере да би се уверили да хост уређај није виртуелна машина, користећи сисцтл -н хв.модел. Прикупљени подаци се затим чувају у фасцикли под називом „подаци“, која се може наћи на различитим локацијама у зависности од верзије малвера: било у корисничкој почетној фасцикли, радном директоријуму малвера или фасцикли названој по надређеној игрици.

Истраживачи су категорисали ових 16 различитих варијанти у четири главне породице: А, Б, Ц и Д, на основу њихових разликовних особина. Приближно 30% узорака из породица А, Б и Д садржи низове који циљају на предстојећи мацОС 14 Сонома. Ово указује да се аутори малвера већ припремају за Аппле-ово предстојеће издање оперативног система за десктоп рачунаре, обезбеђујући Реалст-ову компатибилност и оптимално функционисање.

С обзиром на ову претњу, корисницима мацОС-а се саветује да буду опрезни са блокчејн играма, јер дистрибутери Реалст-а искориштавају Дисцорд канале и „проверене“ Твиттер налоге да би створили варљиву илузију легитимности. Опрез и провера извора преузимања игара може помоћи у заштити од таквог претећег софтвера.