Realst Mac Malware

Ang isang bagong Mac malware na pinangalanang Realst ay lumitaw bilang bahagi ng isang malawakang kampanya sa pag-atake na partikular na nagta-target sa mga Apple computer. Ang higit na nakakabahala ay ang ilan sa mga pinakabagong bersyon nito ay inangkop para samantalahin ang macOS 14 Sonoma, isang operating system na nasa yugto pa rin ng pag-unlad.

Ang pamamahagi ng malware na ito ay hindi limitado sa mga gumagamit ng macOS, dahil tina-target din nito ang mga Windows device. Ang mga umaatake ay tusong nagkukunwari sa malware bilang mga pekeng blockchain na laro, na nagbibigay sa kanila ng mga pangalan tulad ng Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles at SaintLegend.

Upang maakit ang mga biktima na i-download ang nagbabantang software, ang mga pekeng larong ito ay labis na pino-promote sa social media. Gumagamit ang mga aktor ng pagbabanta ng mga direktang mensahe upang magbahagi ng mga access code na kinakailangan para sa pag-download ng pekeng kliyente ng laro mula sa mga nauugnay na website. Sa pamamagitan ng paggamit ng mga access code na ito, maingat na mapipili ng mga attacker ang kanilang mga target at maiwasan ang pagtuklas ng mga security researcher na nagtatangkang alisan ng takip ang kanilang mga hindi ligtas na aktibidad.

Ang mga dapat na nag-install ng laro ay nahahawa sa mga device ng mga biktima ng malware na nangongolekta ng impormasyon. Ang mga banta ay dalubhasa sa pagkolekta ng sensitibong data mula sa mga Web browser at cryptocurrency wallet application ng biktima, direktang ipinapadala ang nakolektang impormasyon sa mga aktor ng pagbabanta.

Pangunahing tumutok ang mga mananaliksik sa mga bersyon ng macOS ng Realst malware at nakatuklas ng hindi bababa sa 16 na variant na may kapansin-pansing pagkakaiba sa pagitan ng mga ito, na nagpapahiwatig ng isang patuloy at mabilis na proseso ng pag-unlad.

Attack Chain ng Realst macOS Stealer Threat

Kapag na-download ng mga user ang pekeng laro mula sa website ng threat actor, makakatagpo sila ng iba't ibang malware batay sa kanilang operating system – Windows man o macOS. Para sa mga user ng Windows, ang karaniwang malware na ipinamamahagi ay RedLine Stealer . Gayunpaman, kung minsan, maaaring kasangkot din ang iba pang mga variant ng malware tulad ng Raccoon Stealer at AsyncRAT .

Sa kabilang banda, ang mga gumagamit ng Mac ay mahahawahan ng Realst na pagnanakaw ng impormasyon na malware, na itinago bilang mga PKG installer o DMG disk file. Sinasabi ng mga file na ito na naglalaman ng content ng laro ngunit, sa totoo lang, naglalaman lang ng mga hindi ligtas na Mach-O file na walang aktwal na mga laro o lehitimong software.

Kabilang sa mga nakakahamak na bahagi, ang 'game.py' na file ay nagsisilbing cross-platform Firefox infostealer. Kasabay nito, ang 'installer.py' ay may label na 'chainbreaker,' na idinisenyo upang kunin ang mga password, key, at certificate mula sa database ng macOS keychain.

Upang maiwasan ang pagtuklas ng mga tool sa seguridad, ang ilang sample ay nilagdaan ng code gamit ang dating valid (ngunit binawi na ngayon) ang mga Apple Developer ID o ad-hoc signature. Ang taktika na ito ay nagpapahintulot sa malware na makalampas sa mga hakbang sa seguridad at manatiling nakatago.

Maraming Tunay na Bersyon ng Malware ang Natuklasan sa Mga Pag-atake

Sa ngayon, 16 na natatanging variant ng Realst ang natukoy na. Bagama't nagbabahagi ng makabuluhang pagkakatulad sa istraktura at paggana, gumagamit ang mga variant ng iba't ibang hanay ng tawag sa API. Anuman, partikular na tina-target ng malware ang mga browser tulad ng Firefox, Chrome, Opera, Brave, Vivaldi, at ang Telegram app. Lumilitaw na wala sa mga nasuri na sample ng Realst ang tila nagta-target sa Safari.

Karamihan sa mga variant na ito ay nagtatangkang kunin ang password ng user sa pamamagitan ng paggamit ng osascript at AppleScript spoofing techniques. Bukod pa rito, nagsasagawa sila ng mga pangunahing pagsusuri upang matiyak na ang host device ay hindi isang virtual machine, na gumagamit ng sysctl -n hw.model. Ang nakolektang data ay iniimbak sa isang folder na pinangalanang 'data,' na makikita sa iba't ibang lokasyon depende sa bersyon ng malware: alinman sa home folder ng user, gumaganang direktoryo ng malware, o isang folder na ipinangalan sa parent na laro.

Ikinategorya ng mga mananaliksik ang 16 na natatanging variant na ito sa apat na pangunahing pamilya: A, B, C, at D, batay sa kanilang mga natatanging katangian. Tinatayang 30% ng mga sample mula sa mga pamilyang A, B, at D ay naglalaman ng mga string na nagta-target sa paparating na macOS 14 Sonoma. Ito ay nagpapahiwatig na ang mga may-akda ng malware ay naghahanda na para sa paparating na desktop OS release ng Apple, na tinitiyak ang pagiging tugma ng Realst at pinakamainam na paggana.

Dahil sa banta na ito, pinapayuhan ang mga gumagamit ng macOS na mag-ingat sa mga larong blockchain, dahil sinasamantala ng mga distributor ng Realst ang mga Discord channel at 'na-verify' ang mga Twitter account upang lumikha ng mapanlinlang na ilusyon ng pagiging lehitimo. Ang pagiging mapagbantay at pag-verify sa mga pinagmumulan ng mga pag-download ng laro ay maaaring makatulong na maprotektahan laban sa naturang nagbabantang software.