Realst Mac Malware

En ny skadlig programvara för Mac vid namn Realst har dykt upp som en del av en massiv attackkampanj som riktar sig specifikt till Apple-datorer. Vad som är ännu mer oroande är att några av dess senaste versioner har anpassats för att utnyttja macOS 14 Sonoma, ett operativsystem som fortfarande är i utvecklingsstadiet.

Distributionen av denna skadliga programvara är inte begränsad till macOS-användare, eftersom den också riktar sig till Windows-enheter. Angriparna döljer på ett listigt sätt skadlig programvara som falska blockkedjespel och ger dem namn som Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles och SaintLegend.

För att locka offren att ladda ner den hotfulla programvaran marknadsförs dessa falska spel kraftigt på sociala medier. Hotaktörerna använder direktmeddelanden för att dela åtkomstkoder som krävs för att ladda ner den falska spelklienten från associerade webbplatser. Genom att använda dessa åtkomstkoder kan angriparna noggrant välja sina mål och undvika upptäckt av säkerhetsforskare som försöker avslöja deras osäkra aktiviteter.

De förmodade spelinstallatörerna infekterar offrens enheter med skadlig programvara som samlar in information. Hoten är specialiserade på att samla in känslig data från offrets webbläsare och applikationer för kryptovaluta-plånbok, och skickar den insamlade informationen direkt till hotaktörerna.

Forskarna fokuserade främst på macOS-versionerna av Realst malware och upptäckte minst 16 varianter med anmärkningsvärda skillnader mellan dem, vilket tyder på en pågående och snabb utvecklingsprocess.

Attack Chain of the Realst macOS Stealer Threat

När användare laddar ner det falska spelet från hotaktörens webbplats kommer de att stöta på olika skadliga program baserat på deras operativsystem – antingen Windows eller macOS. För Windows-användare är den vanliga skadliga programvaran som distribueras RedLine Stealer . Men ibland kan andra malware-varianter som Raccoon Stealer och AsyncRAT också vara inblandade.

Å andra sidan kommer Mac-användare att infekteras med Realst info-stjäl skadlig programvara, som är förklädd som PKG-installatörer eller DMG-diskfiler. Dessa filer påstår sig innehålla spelinnehåll men innehåller i verkligheten bara osäkra Mach-O-filer utan några faktiska spel eller legitim programvara.

Bland de skadliga komponenterna fungerar "game.py"-filen som en plattformsoberoende Firefox infostealer. Samtidigt är "installer.py" märkt som "kedjebrytare", utformad för att extrahera lösenord, nycklar och certifikat från macOS nyckelringsdatabasen.

För att undvika upptäckt av säkerhetsverktyg samutformades vissa prover med tidigare giltiga (men nu återkallade) Apple-utvecklar-ID eller ad-hoc-signaturer. Denna taktik gör att skadlig programvara kan glida förbi säkerhetsåtgärder och förbli dold.

Flera Realst Malware-versioner avslöjade i attacker

Hittills har 16 distinkta varianter av Realst identifierats. Även om de delar betydande likheter i struktur och funktion, använder varianterna olika API-anropsuppsättningar. Oavsett vilket är skadlig programvara specifikt inriktad på webbläsare som Firefox, Chrome, Opera, Brave, Vivaldi och Telegram-appen. Det verkar som om inget av de analyserade Realst-proverna verkar rikta sig mot Safari.

De flesta av dessa varianter försöker få användarens lösenord genom att använda osascript och AppleScript-spoofing-tekniker. Dessutom utför de grundläggande kontroller för att säkerställa att värdenheten inte är en virtuell maskin, med hjälp av sysctl -n hw.model. Den insamlade informationen lagras sedan i en mapp som heter "data", som kan hittas på olika platser beroende på skadlig programvara: antingen i användarens hemmapp, skadlig programvaras arbetskatalog eller en mapp som är uppkallad efter det överordnade spelet.

Forskare har kategoriserat dessa 16 distinkta varianter i fyra huvudfamiljer: A, B, C och D, baserat på deras utmärkande egenskaper. Ungefär 30 % av proverna från familjerna A, B och D innehåller strängar som riktar sig till det kommande macOS 14 Sonoma. Detta indikerar att författarna av skadlig programvara redan förbereder sig för Apples kommande version av operativsystemet för skrivbordet, vilket säkerställer Realsts kompatibilitet och optimala funktion.

Med tanke på detta hot rekommenderas macOS-användare att vara försiktiga med blockchain-spel, eftersom distributörerna av Realst utnyttjar Discord-kanaler och "verifierade" Twitter-konton för att skapa en vilseledande illusion av legitimitet. Att vara vaksam och verifiera källorna till spelnedladdningar kan hjälpa till att skydda mot sådan hotfull programvara.