Зловмисне програмне забезпечення Realst Mac

Нове зловмисне програмне забезпечення для Mac під назвою Realst з’явилося як частина масштабної кампанії атак, спеціально націленої на комп’ютери Apple. Ще більше занепокоєння викликає те, що деякі з його останніх версій були адаптовані для використання macOS 14 Sonoma, операційної системи, яка все ще знаходиться на стадії розробки.

Розповсюдження цього шкідливого програмного забезпечення не обмежується користувачами macOS, оскільки воно також націлено на пристрої Windows. Зловмисники хитро маскують зловмисне програмне забезпечення під фальшиві блокчейн-ігри, даючи їм такі назви, як Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles і SaintLegend.

Щоб спонукати жертв завантажувати загрозливе програмне забезпечення, ці підроблені ігри активно рекламуються в соціальних мережах. Зловмисники використовують прямі повідомлення, щоб поділитися кодами доступу, необхідними для завантаження підробленого ігрового клієнта з пов’язаних веб-сайтів. Використовуючи ці коди доступу, зловмисники можуть ретельно вибирати свої цілі та уникнути виявлення дослідниками безпеки, які намагаються виявити їхню небезпечну діяльність.

Передбачувані інсталятори ігор заражають пристрої жертв шкідливим програмним забезпеченням для збору інформації. Загрози спеціалізуються на зборі конфіденційних даних із веб-браузерів жертви та додатків криптовалютних гаманців, надсилаючи зібрану інформацію безпосередньо суб’єктам загрози.

Дослідники в основному зосередилися на версіях зловмисного програмного забезпечення Realst для macOS і виявили принаймні 16 варіантів із помітними відмінностями між ними, що свідчить про постійний і швидкий процес розробки.

Ланцюг атак Realst macOS Stealer Threat

Коли користувачі завантажують підроблену гру з веб-сайту зловмисника, вони стикаються з різними зловмисними програмами на основі своєї операційної системи – Windows або macOS. Для користувачів Windows поширеним зловмисним програмним забезпеченням є RedLine Stealer . Однак іноді можуть бути залучені інші варіанти зловмисного програмного забезпечення, такі як Raccoon Stealer і AsyncRAT .

З іншого боку, користувачі Mac будуть заражені шкідливим програмним забезпеченням Realst, яке викрадає інформацію, яке маскується під інсталятори PKG або дискові файли DMG. Ці файли нібито містять ігровий вміст, але насправді містять лише небезпечні файли Mach-O без справжніх ігор чи законного програмного забезпечення.

Серед зловмисних компонентів файл «game.py» служить крос-платформним інформаційним викрадачем Firefox. Водночас «installer.py» позначено як «chainbreaker», призначений для вилучення паролів, ключів і сертифікатів із бази даних брелоків macOS.

Щоб уникнути виявлення інструментами безпеки, деякі зразки були закодовані з використанням раніше дійсних (але тепер відкликаних) ідентифікаторів розробників Apple або спеціальних підписів. Ця тактика дозволяє зловмисному програмному забезпеченню пройти повз заходи безпеки та залишитися прихованим.

Під час атак було виявлено численні версії зловмисного програмного забезпечення Realst

На даний момент ідентифіковано 16 різних варіантів Realst. Незважаючи на значну схожість у структурі та функціях, варіанти використовують різні набори викликів API. Незважаючи на це, зловмисне програмне забезпечення спеціально націлено на такі браузери, як Firefox, Chrome, Opera, Brave, Vivaldi та додаток Telegram. Здається, жоден із проаналізованих зразків Realst не націлений на Safari.

Більшість із цих варіантів намагаються отримати пароль користувача за допомогою методів підробки osascript і AppleScript. Крім того, вони виконують основні перевірки, щоб переконатися, що хост-пристрій не є віртуальною машиною, використовуючи sysctl -n hw.model. Потім зібрані дані зберігаються в папці під назвою «дані», яку можна знайти в різних місцях залежно від версії зловмисного програмного забезпечення: або в домашній папці користувача, у робочому каталозі зловмисного програмного забезпечення або в папці, названій на честь батьківської гри.

Дослідники розділили ці 16 різних варіантів на чотири основні сімейства: A, B, C і D на основі їхніх відмінних рис. Приблизно 30% зразків із сімейств A, B і D містять рядки, націлені на майбутню macOS 14 Sonoma. Це вказує на те, що автори зловмисного програмного забезпечення вже готуються до майбутнього випуску настільної ОС від Apple, забезпечуючи сумісність і оптимальне функціонування Realst.

Враховуючи цю загрозу, користувачам macOS рекомендується бути обережними з блокчейн-іграми, оскільки розповсюджувачі Realst використовують канали Discord і «перевірені» облікові записи Twitter, щоб створити оманливу ілюзію легітимності. Пильність і перевірка джерел завантаження ігор може допомогти захиститися від такого загрозливого програмного забезпечення.