Realst Mac Malware

一种名为 Realst 的新型 Mac 恶意软件已经出现，它是专门针对 Apple 计算机的大规模攻击活动的一部分。更令人担忧的是，其一些最新版本已针对仍处于开发阶段的操作系统 macOS 14 Sonoma 进行了调整。

该恶意软件的传播不仅限于 macOS 用户，它还针对 Windows 设备。攻击者狡猾地将恶意软件伪装成假冒区块链游戏，并给它们起了诸如 Brawl Earth、WildWorld、Dawnland、Destruction、Evolion、Pearl、Olymp of Reptiles 和 SaintLegend 等名称。

为了引诱受害者下载威胁软件，这些假冒游戏在社交媒体上大力宣传。威胁行为者利用直接消息来共享从相关网站下载虚假游戏客户端所需的访问代码。通过使用这些访问代码，攻击者可以仔细选择目标，并避免被试图揭露其不安全活动的安全研究人员检测到。

所谓的游戏安装程序会用信息收集恶意软件感染受害者的设备。这些威胁专门从受害者的网络浏览器和加密货币钱包应用程序收集敏感数据，并将收集到的信息直接发送给威胁行为者。

研究人员主要关注 Realst 恶意软件的 macOS 版本，并发现了至少 16 个变体，它们之间存在显着差异，这表明开发过程正在进行且快节奏。

真正的 macOS 窃取者威胁的攻击链

当用户从威胁行为者的网站下载假游戏时，他们会遇到基于操作系统的不同恶意软件（Windows 或 macOS）。对于 Windows 用户，分发的常见恶意软件是RedLine Stealer 。然而，有时也可能涉及其他恶意软件变体，例如Raccoon Stealer和AsyncRAT 。

另一方面，Mac 用户将感染 Realst 信息窃取恶意软件，该恶意软件伪装成 PKG 安装程序或 DMG 磁盘文件。这些文件声称包含游戏内容，但实际上只包含不安全的 Mach-O 文件，没有实际的游戏或合法软件。

在恶意组件中，“game.py”文件充当跨平台的 Firefox 信息窃取者。同时，“installer.py”被标记为“chainbreaker”，旨在从 macOS 钥匙串数据库中提取密码、密钥和证书。

为了逃避安全工具的检测，一些样本使用以前有效（但现已撤销）的 Apple 开发者 ID 或临时签名进行了联合签名。这种策略使恶意软件能够绕过安全措施并保持隐藏状态。

攻击中发现了许多真实的恶意软件版本

迄今为止，已发现 Realst 的 16 种不同变体。尽管这些变体在结构和功能上具有显着的相似性，但它们采用不同的 API 调用集。无论如何，该恶意软件专门针对 Firefox、Chrome、Opera、Brave、Vivaldi 和 Telegram 应用程序等浏览器。看来所分析的 Realst 样本似乎都没有针对 Safari。

大多数这些变体尝试使用 osascript 和 AppleScript 欺骗技术来获取用户的密码。此外，它们还使用 sysctl -n hw.model 执行基本检查，以确保主机设备不是虚拟机。然后，收集的数据存储在名为“data”的文件夹中，根据恶意软件版本，可以在不同位置找到该文件夹：用户的主文件夹、恶意软件的工作目录或以父游戏命名的文件夹。

研究人员根据其显着特征，将这 16 种不同的变体分为四个主要家族：A、B、C 和 D。来自 A、B 和 D 系列的样本中大约 30% 包含针对即将推出的 macOS 14 Sonoma 的字符串。这表明恶意软件作者已经在为 Apple 即将发布的桌面操作系统版本做准备，以确保 Realst 的兼容性和最佳功能。

鉴于这种威胁，建议 macOS 用户谨慎对待区块链游戏，因为 Realst 的发行商会利用 Discord 渠道和“经过验证”的 Twitter 帐户来制造合法性的欺骗性假象。保持警惕并验证游戏下载的来源有助于防范此类威胁软件。