Realst Mac Malware

Realst adlı yeni bir Mac kötü amaçlı yazılımı, özellikle Apple bilgisayarlarını hedef alan büyük bir saldırı kampanyasının parçası olarak ortaya çıktı. Daha da endişe verici olan, en son sürümlerinden bazılarının, henüz geliştirme aşamasında olan bir işletim sistemi olan macOS 14 Sonoma'dan yararlanacak şekilde uyarlanmış olmasıdır.

Bu kötü amaçlı yazılımın dağıtımı, Windows cihazlarını da hedef aldığı için macOS kullanıcılarıyla sınırlı değildir. Saldırganlar, kötü amaçlı yazılımı sahte blok zinciri oyunları gibi kurnazca gizleyerek onlara Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles ve SaintLegend gibi isimler veriyor.

Kurbanları tehdit edici yazılımı indirmeye ikna etmek için bu sahte oyunlar, sosyal medyada yoğun bir şekilde tanıtılıyor. Tehdit aktörleri, sahte oyun istemcisini ilişkili web sitelerinden indirmek için gereken erişim kodlarını paylaşmak için doğrudan mesajlar kullanır. Saldırganlar, bu erişim kodlarını kullanarak hedeflerini dikkatli bir şekilde seçebilir ve güvenli olmayan faaliyetlerini ortaya çıkarmaya çalışan güvenlik araştırmacıları tarafından tespit edilmekten kaçınabilir.

Sözde oyun yükleyicileri, kurbanların cihazlarına bilgi toplayan kötü amaçlı yazılımlar bulaştırıyor. Tehditler, kurbanın Web tarayıcılarından ve kripto para cüzdanı uygulamalarından hassas verileri toplama ve toplanan bilgileri doğrudan tehdit aktörlerine gönderme konusunda uzmanlaşmıştır.

Araştırmacılar öncelikle Realst kötü amaçlı yazılımının macOS sürümlerine odaklandılar ve aralarında dikkate değer farklılıklar bulunan en az 16 varyant keşfettiler, bu da devam eden ve hızlı bir geliştirme sürecine işaret ediyor.

Realst macOS Stealer Tehditinin Saldırı Zinciri

Kullanıcılar sahte oyunu tehdit aktörünün web sitesinden indirdiklerinde, işletim sistemlerine bağlı olarak Windows veya macOS gibi farklı kötü amaçlı yazılımlarla karşılaşırlar. Windows kullanıcıları için dağıtılan yaygın kötü amaçlı yazılım RedLine Stealer'dır . Ancak, bazen Raccoon Stealer ve AsyncRAT gibi diğer kötü amaçlı yazılım çeşitleri de dahil olabilir.

Öte yandan, Mac kullanıcılarına, PKG yükleyicileri veya DMG disk dosyaları kılığına giren Realst bilgi çalan kötü amaçlı yazılım bulaşacaktır. Bu dosyaların oyun içeriği içerdiği iddia edilir, ancak gerçekte yalnızca güvenli olmayan Mach-O dosyalarını barındırır ve gerçek oyunlar veya meşru yazılımlar içermez.

Kötü amaçlı bileşenler arasında, 'game.py' dosyası platformlar arası bir Firefox bilgi hırsızı işlevi görür. Aynı zamanda, 'installer.py', macOS anahtarlık veritabanından parolaları, anahtarları ve sertifikaları çıkarmak için tasarlanmış 'chainbreaker' olarak etiketlenmiştir.

Güvenlik araçları tarafından tespit edilmekten kaçınmak için bazı örnekler, önceden geçerli (ancak şimdi iptal edilmiş) Apple Geliştirici Kimlikleri veya geçici imzalar kullanılarak birlikte tasarlandı. Bu taktik, kötü amaçlı yazılımın güvenlik önlemlerini aşmasına ve gizli kalmasına olanak tanır.

Saldırılarda Ortaya Çıkan Çok Sayıda Realst Kötü Amaçlı Yazılım Sürümü

Şimdiye kadar, Realst'in 16 farklı çeşidi tanımlandı. Yapı ve işlev açısından önemli benzerlikler paylaşsa da, değişkenler farklı API çağrı kümeleri kullanır. Ne olursa olsun, kötü amaçlı yazılım özellikle Firefox, Chrome, Opera, Brave, Vivaldi ve Telegram uygulaması gibi tarayıcıları hedefliyor. Görünüşe göre analiz edilen Realst örneklerinin hiçbiri Safari'yi hedef almıyor.

Bu varyantların çoğu, osascript ve AppleScript sızdırma tekniklerini kullanarak kullanıcının parolasını elde etmeye çalışır. Ek olarak, sysctl -n hw.model'i kullanarak ana aygıtın sanal bir makine olmadığından emin olmak için temel kontroller gerçekleştirirler. Toplanan veriler daha sonra, kötü amaçlı yazılımın sürümüne bağlı olarak çeşitli konumlarda bulunabilen "veri" adlı bir klasörde depolanır: kullanıcının ana klasöründe, kötü amaçlı yazılımın çalışma dizininde veya ana oyunun adını taşıyan bir klasörde.

Araştırmacılar, bu 16 farklı varyantı ayırt edici özelliklerine göre dört ana aileye ayırdılar: A, B, C ve D. A, B ve D ailelerinden alınan örneklerin yaklaşık %30'u yakında çıkacak olan macOS 14 Sonoma'yı hedefleyen dizeler içerir. Bu, kötü amaçlı yazılım yazarlarının, Realst'in uyumluluğunu ve optimum işleyişini sağlayarak, Apple'ın yakında çıkacak olan masaüstü işletim sistemi sürümüne hazırlandıklarını gösterir.

Realst distribütörleri, aldatıcı bir meşruiyet yanılsaması yaratmak için Discord kanallarını ve 'doğrulanmış' Twitter hesaplarını istismar ettiğinden, bu tehdit göz önüne alındığında, macOS kullanıcılarının blockchain oyunlarında dikkatli olmaları önerilir. Tetikte olmak ve oyun indirme kaynaklarının doğrulanması, bu tür tehdit edici yazılımlara karşı korunmanıza yardımcı olabilir.