Realst Mac Malware

一種名為 Realst 的新型 Mac 惡意軟件已經出現，它是專門針對 Apple 計算機的大規模攻擊活動的一部分。更令人擔憂的是，其一些最新版本已針對仍處於開發階段的操作系統 macOS 14 Sonoma 進行了調整。

該惡意軟件的傳播不僅限於 macOS 用戶，它還針對 Windows 設備。攻擊者狡猾地將惡意軟件偽裝成假冒區塊鏈遊戲，並給它們起了諸如 Brawl Earth、WildWorld、Dawnland、Destruction、Evolion、Pearl、Olymp of Reptiles 和 SaintLegend 等名稱。

為了引誘受害者下載威脅軟件，這些假冒遊戲在社交媒體上大力宣傳。威脅行為者利用直接消息來共享從相關網站下載虛假遊戲客戶端所需的訪問代碼。通過使用這些訪問代碼，攻擊者可以仔細選擇目標，並避免被試圖揭露其不安全活動的安全研究人員檢測到。

所謂的遊戲安裝程序會用信息收集惡意軟件感染受害者的設備。這些威脅專門從受害者的網絡瀏覽器和加密貨幣錢包應用程序收集敏感數據，並將收集到的信息直接發送給威脅行為者。

研究人員主要關注 Realst 惡意軟件的 macOS 版本，並發現了至少 16 個變體，它們之間存在顯著差異，這表明開發過程正在進行且快節奏。

真正的 macOS 竊取者威脅的攻擊鏈

當用戶從威脅行為者的網站下載假遊戲時，他們會遇到基於操作系統的不同惡意軟件（Windows 或 macOS）。對於 Windows 用戶，分發的常見惡意軟件是RedLine Stealer 。然而，有時也可能涉及其他惡意軟件變體，例如Raccoon Stealer和AsyncRAT 。

另一方面，Mac 用戶將感染 Realst 信息竊取惡意軟件，該惡意軟件偽裝成 PKG 安裝程序或 DMG 磁盤文件。這些文件聲稱包含遊戲內容，但實際上只包含不安全的 Mach-O 文件，沒有實際的遊戲或合法軟件。

在惡意組件中，“game.py”文件充當跨平台的 Firefox 信息竊取者。同時，“installer.py”被標記為“chainbreaker”，旨在從 macOS 鑰匙串數據庫中提取密碼、密鑰和證書。

為了逃避安全工具的檢測，一些樣本使用以前有效（但現已撤銷）的 Apple 開發者 ID 或臨時簽名進行了聯合簽名。這種策略使惡意軟件能夠繞過安全措施並保持隱藏狀態。

攻擊中發現了許多真實的惡意軟件版本

迄今為止，已發現 Realst 的 16 種不同變體。儘管這些變體在結構和功能上具有顯著的相似性，但它們採用不同的 API 調用集。無論如何，該惡意軟件專門針對 Firefox、Chrome、Opera、Brave、Vivaldi 和 Telegram 應用程序等瀏覽器。看來所分析的 Realst 樣本似乎都沒有針對 Safari。

大多數這些變體嘗試使用 osascript 和 AppleScript 欺騙技術來獲取用戶的密碼。此外，它們還使用 sysctl -n hw.model 執行基本檢查，以確保主機設備不是虛擬機。然後，收集的數據存儲在名為“data”的文件夾中，根據惡意軟件版本，可以在不同位置找到該文件夾：用戶的主文件夾、惡意軟件的工作目錄或以父遊戲命名的文件夾。

研究人員根據其顯著特徵，將這 16 種不同的變體分為四個主要家族：A、B、C 和 D。來自 A、B 和 D 系列的樣本中大約 30% 包含針對即將推出的 macOS 14 Sonoma 的字符串。這表明惡意軟件作者已經在為 Apple 即將發布的桌面操作系統版本做準備，以確保 Realst 的兼容性和最佳功能。

鑑於這種威脅，建議 macOS 用戶謹慎對待區塊鏈遊戲，因為 Realst 的發行商會利用 Discord 渠道和“經過驗證”的 Twitter 帳戶來製造合法性的欺騙性假象。保持警惕並驗證遊戲下載的來源有助於防範此類威脅軟件。