Phần mềm độc hại Realst Mac

Một phần mềm độc hại Mac mới có tên Realst đã xuất hiện như một phần của chiến dịch tấn công lớn nhắm mục tiêu cụ thể vào máy tính Apple. Điều đáng lo ngại hơn nữa là một số phiên bản mới nhất của nó đã được điều chỉnh để khai thác macOS 14 Sonoma, một hệ điều hành vẫn đang trong giai đoạn phát triển.

Việc phân phối phần mềm độc hại này không chỉ giới hạn ở người dùng macOS mà còn nhắm mục tiêu vào các thiết bị Windows. Những kẻ tấn công đang khéo léo ngụy trang phần mềm độc hại thành các trò chơi chuỗi khối giả mạo, đặt cho chúng những cái tên như Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles và SaintLegend.

Để dụ nạn nhân tải xuống phần mềm đe dọa, những trò chơi giả mạo này được quảng cáo rầm rộ trên mạng xã hội. Những kẻ đe dọa sử dụng tin nhắn trực tiếp để chia sẻ mã truy cập cần thiết để tải xuống ứng dụng khách trò chơi giả mạo từ các trang web được liên kết. Bằng cách sử dụng các mã truy cập này, kẻ tấn công có thể lựa chọn cẩn thận các mục tiêu của chúng và tránh bị các nhà nghiên cứu bảo mật phát hiện khi cố gắng phát hiện ra các hoạt động không an toàn của chúng.

Trình cài đặt trò chơi được cho là đã lây nhiễm phần mềm độc hại thu thập thông tin vào thiết bị của nạn nhân. Các mối đe dọa chuyên thu thập dữ liệu nhạy cảm từ các trình duyệt Web và ứng dụng ví tiền điện tử của nạn nhân, gửi thông tin thu thập được trực tiếp đến các tác nhân đe dọa.

Các nhà nghiên cứu chủ yếu tập trung vào các phiên bản macOS của phần mềm độc hại Realst và phát hiện ra ít nhất 16 biến thể với sự khác biệt đáng chú ý giữa chúng, cho thấy quá trình phát triển đang diễn ra và diễn ra nhanh chóng.

Chuỗi tấn công của mối đe dọa đánh cắp macOS thực sự nhất

Khi người dùng tải xuống trò chơi giả mạo từ trang web của kẻ đe dọa, họ sẽ gặp phải các phần mềm độc hại khác nhau dựa trên hệ điều hành của họ – Windows hoặc macOS. Đối với người dùng Windows, phần mềm độc hại phổ biến đang được phát tán là RedLine Stealer . Tuy nhiên, đôi khi, các biến thể phần mềm độc hại khác như Raccoon Stealer và AsyncRAT cũng có thể liên quan.

Mặt khác, người dùng Mac sẽ bị nhiễm phần mềm độc hại đánh cắp thông tin Realst, được ngụy trang dưới dạng trình cài đặt PKG hoặc tệp đĩa DMG. Các tệp này tuyên bố chứa nội dung trò chơi, nhưng trên thực tế, chỉ chứa các tệp Mach-O không an toàn mà không có trò chơi thực tế hoặc phần mềm hợp pháp.

Trong số các thành phần độc hại, tệp 'game.py' đóng vai trò là trình đánh cắp thông tin đa nền tảng của Firefox. Đồng thời, 'installer.py' được gắn nhãn là 'chainbreaker', được thiết kế để trích xuất mật khẩu, khóa và chứng chỉ từ cơ sở dữ liệu móc khóa macOS.

Để tránh bị các công cụ bảo mật phát hiện, một số mẫu đã được mã hóa bằng cách sử dụng ID nhà phát triển Apple hợp lệ trước đây (nhưng hiện đã bị thu hồi) hoặc chữ ký đặc biệt. Chiến thuật này cho phép phần mềm độc hại vượt qua các biện pháp bảo mật và vẫn ẩn.

Nhiều phiên bản phần mềm độc hại Realst được phát hiện trong các cuộc tấn công

Cho đến nay, 16 biến thể riêng biệt của Realst đã được xác định. Mặc dù có những điểm tương đồng đáng kể về cấu trúc và chức năng, nhưng các biến thể sử dụng các tập lệnh gọi API khác nhau. Bất chấp điều đó, phần mềm độc hại nhắm mục tiêu cụ thể đến các trình duyệt như Firefox, Chrome, Opera, Brave, Vivaldi và ứng dụng Telegram. Có vẻ như không có mẫu Realst nào được phân tích nhắm mục tiêu vào Safari.

Hầu hết các biến thể này đều cố lấy mật khẩu của người dùng bằng cách sử dụng các kỹ thuật giả mạo osascript và AppleScript. Ngoài ra, họ thực hiện kiểm tra cơ bản để đảm bảo rằng thiết bị chủ không phải là máy ảo, sử dụng sysctl -n hw.model. Sau đó, dữ liệu đã thu thập được lưu trữ trong một thư mục có tên "dữ liệu", thư mục này có thể được tìm thấy ở nhiều vị trí khác nhau tùy thuộc vào phiên bản phần mềm độc hại: trong thư mục chính của người dùng, thư mục làm việc của phần mềm độc hại hoặc thư mục được đặt tên theo trò chơi gốc.

Các nhà nghiên cứu đã phân loại 16 biến thể riêng biệt này thành bốn họ chính: A, B, C và D, dựa trên các đặc điểm phân biệt của chúng. Khoảng 30% mẫu từ các dòng A, B và D chứa các chuỗi nhắm mục tiêu đến macOS 14 Sonoma sắp ra mắt. Điều này cho thấy rằng các tác giả phần mềm độc hại đã chuẩn bị cho việc phát hành hệ điều hành máy tính để bàn sắp tới của Apple, đảm bảo khả năng tương thích và hoạt động tối ưu của Realst.

Trước mối đe dọa này, người dùng macOS nên thận trọng với các trò chơi blockchain, vì các nhà phân phối của Realst khai thác các kênh Discord và tài khoản Twitter 'đã được xác minh' để tạo ra ảo tưởng lừa đảo về tính hợp pháp. Cảnh giác và xác minh các nguồn tải xuống trò chơi có thể giúp bảo vệ khỏi phần mềm đe dọa như vậy.