มัลแวร์ Realst Mac

มัลแวร์ Mac ตัวใหม่ชื่อ Realst ได้กลายเป็นส่วนหนึ่งของแคมเปญโจมตีขนาดใหญ่ที่กำหนดเป้าหมายคอมพิวเตอร์ Apple โดยเฉพาะ สิ่งที่น่ากังวลยิ่งกว่าคือเวอร์ชันล่าสุดบางเวอร์ชันได้รับการดัดแปลงให้ใช้ประโยชน์จาก macOS 14 Sonoma ซึ่งเป็นระบบปฏิบัติการที่ยังอยู่ในขั้นตอนการพัฒนา

การแพร่กระจายของมัลแวร์นี้ไม่ได้จำกัดเฉพาะผู้ใช้ macOS เนื่องจากมีเป้าหมายที่อุปกรณ์ Windows ด้วย ผู้โจมตีใช้เล่ห์เหลี่ยมปลอมแปลงมัลแวร์ให้เป็นเกมบล็อกเชนปลอม โดยตั้งชื่อให้ว่า Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles และ SaintLegend

เพื่อหลอกล่อเหยื่อให้ดาวน์โหลดซอฟต์แวร์คุกคาม เกมปลอมเหล่านี้ได้รับการโปรโมตอย่างหนักบนโซเชียลมีเดีย ผู้คุกคามใช้ข้อความโดยตรงเพื่อแบ่งปันรหัสการเข้าถึงที่จำเป็นสำหรับการดาวน์โหลดไคลเอนต์เกมปลอมจากเว็บไซต์ที่เกี่ยวข้อง ด้วยการใช้รหัสการเข้าถึงเหล่านี้ ผู้โจมตีสามารถเลือกเป้าหมายอย่างระมัดระวังและหลีกเลี่ยงการตรวจจับโดยนักวิจัยด้านความปลอดภัยที่พยายามเปิดเผยกิจกรรมที่ไม่ปลอดภัยของพวกเขา

โปรแกรมติดตั้งเกมที่คาดว่าจะทำให้อุปกรณ์ของเหยื่อติดมัลแวร์ที่รวบรวมข้อมูล ภัยคุกคามนี้เชี่ยวชาญในการรวบรวมข้อมูลที่ละเอียดอ่อนจากเว็บเบราว์เซอร์ของเหยื่อและแอปพลิเคชันกระเป๋าเงินดิจิทัล โดยส่งข้อมูลที่รวบรวมได้โดยตรงไปยังผู้คุกคาม

นักวิจัยมุ่งเน้นไปที่มัลแวร์ Realst เวอร์ชัน macOS เป็นหลัก และค้นพบอย่างน้อย 16 สายพันธุ์ที่มีความแตกต่างอย่างเห็นได้ชัด ซึ่งบ่งชี้ถึงกระบวนการพัฒนาอย่างต่อเนื่องและรวดเร็ว

ห่วงโซ่การโจมตีของ Realst macOS Stealer Threat

เมื่อผู้ใช้ดาวน์โหลดเกมปลอมจากเว็บไซต์ของผู้คุกคาม พวกเขาจะพบมัลแวร์ที่แตกต่างกันไปตามระบบปฏิบัติการของพวกเขา ไม่ว่าจะเป็น Windows หรือ macOS สำหรับผู้ใช้ Windows มัลแวร์ทั่วไปที่เผยแพร่คือ RedLine Stealer อย่างไรก็ตาม ในบางครั้ง มัลแวร์สายพันธุ์อื่นๆ เช่น Raccoon Stealer และ AsyncRAT อาจมีส่วนร่วมด้วย

ในทางกลับกัน ผู้ใช้ Mac จะติดมัลแวร์ขโมยข้อมูล Realst ซึ่งปลอมตัวเป็นตัวติดตั้ง PKG หรือไฟล์ดิสก์ DMG ไฟล์เหล่านี้อ้างว่ามีเนื้อหาของเกม แต่ในความเป็นจริง เก็บเฉพาะไฟล์ Mach-O ที่ไม่ปลอดภัยซึ่งไม่มีเกมจริงหรือซอฟต์แวร์ที่ถูกกฎหมาย

ในบรรดาคอมโพเนนต์ที่เป็นอันตราย ไฟล์ 'game.py' ทำหน้าที่เป็นตัวขโมยข้อมูล Firefox ข้ามแพลตฟอร์ม ในขณะเดียวกัน 'installer.py' จะมีป้ายกำกับว่า 'chainbreaker' ซึ่งออกแบบมาเพื่อแยกรหัสผ่าน คีย์ และใบรับรองจากฐานข้อมูลพวงกุญแจ macOS

เพื่อหลีกเลี่ยงการตรวจจับโดยเครื่องมือรักษาความปลอดภัย ตัวอย่างบางตัวอย่างได้รับการออกแบบร่วมกันโดยใช้ Apple Developer ID หรือลายเซ็นเฉพาะกิจที่ใช้งานได้ก่อนหน้านี้ (แต่ตอนนี้ถูกเพิกถอนแล้ว) กลยุทธ์นี้ช่วยให้มัลแวร์สามารถผ่านมาตรการรักษาความปลอดภัยและยังคงซ่อนอยู่

มัลแวร์ Realst หลายเวอร์ชันถูกเปิดเผยในการโจมตี

จนถึงขณะนี้ มีการระบุรุ่นที่แตกต่างกัน 16 รุ่นของ Realst แม้ว่าโครงสร้างและฟังก์ชันจะมีความคล้ายคลึงกันอย่างมีนัยสำคัญ แต่ตัวแปรต่างๆ ก็ใช้ชุดการเรียก API ที่แตกต่างกัน มัลแวร์เจาะจงไปที่บราวเซอร์เช่น Firefox, Chrome, Opera, Brave, Vivaldi และแอพ Telegram ปรากฏว่าไม่มีตัวอย่าง Realst ที่วิเคราะห์ใดที่ดูเหมือนจะกำหนดเป้าหมายไปที่ Safari

ตัวแปรเหล่านี้ส่วนใหญ่พยายามรับรหัสผ่านของผู้ใช้โดยใช้เทคนิคการปลอมแปลง osascript และ AppleScript นอกจากนี้ยังทำการตรวจสอบขั้นพื้นฐานเพื่อให้แน่ใจว่าอุปกรณ์โฮสต์ไม่ใช่เครื่องเสมือน โดยใช้ sysctl -n hw.model ข้อมูลที่เก็บรวบรวมจะถูกจัดเก็บไว้ในโฟลเดอร์ชื่อ 'data' ซึ่งสามารถพบได้ในหลายตำแหน่งขึ้นอยู่กับเวอร์ชันของมัลแวร์: ทั้งในโฟลเดอร์เริ่มต้นของผู้ใช้ ไดเร็กทอรีการทำงานของมัลแวร์ หรือโฟลเดอร์ที่ตั้งชื่อตามเกมหลัก

นักวิจัยได้แบ่งสายพันธุ์ที่แตกต่างกัน 16 สายพันธุ์ออกเป็นสี่ตระกูลหลัก: A, B, C และ D ตามลักษณะเด่นของพวกมัน ประมาณ 30% ของตัวอย่างจากตระกูล A, B และ D มีสตริงที่กำหนดเป้าหมายไปยัง macOS 14 Sonoma ที่กำลังจะมาถึง สิ่งนี้บ่งชี้ว่าผู้เขียนมัลแวร์กำลังเตรียมพร้อมสำหรับการเปิดตัวระบบปฏิบัติการเดสก์ท็อปของ Apple ที่กำลังจะมาถึง เพื่อให้มั่นใจถึงความเข้ากันได้ของ Realst และการทำงานที่เหมาะสมที่สุด

จากภัยคุกคามนี้ ผู้ใช้ macOS ควรระมัดระวังกับเกมบล็อกเชน เนื่องจากผู้จัดจำหน่าย Realst ใช้ประโยชน์จากช่องทาง Discord และบัญชี Twitter ที่ 'ยืนยัน' เพื่อสร้างภาพลวงตาที่หลอกลวงเกี่ยวกับความถูกต้องตามกฎหมาย การเฝ้าระวังและตรวจสอบแหล่งที่มาของการดาวน์โหลดเกมสามารถช่วยป้องกันซอฟต์แวร์คุกคามดังกล่าวได้