Нове шкідливе програмне забезпечення Realst для macOS краде ваші криптовалютні гаманці

Нове шкідливе програмне забезпечення для Mac під назвою “Realst” використовується в масованій кампанії, націленій на комп’ютери Apple, причому деякі з його останніх версій включають підтримку macOS 14 Sonoma, яка все ще перебуває в розробці

Шкідливе програмне забезпечення, вперше виявлене дослідником безпеки iamdeadlyz, поширюється як серед користувачів Windows, так і macOS у вигляді підроблених блокчейн-ігор з такими назвами, як Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles і SaintLegend.

Ці ігри рекламуються в соціальних мережах, а зловмисники використовують прямі повідомлення для поширення кодів доступу, необхідних для завантаження фальшивого ігрового клієнта з відповідних веб-сайтів.

Коди доступу дозволяють зловмисникам перевіряти тих, кого вони хочуть атакувати, і уникати дослідників безпеки, які хочуть виявити зловмисну поведінку.

Насправді ж інсталятори ігор заражають пристрої шкідливим програмним забезпеченням для викрадення інформації, таким як RedLine Stealer для Windows і Realst для macOS. Цей тип шкідливого програмного забезпечення викрадає дані з веб-браузерів і криптовалютних гаманців жертви та надсилає їх назад зловмисникам.

SentinelOne проаналізувала 59 зразків Mach-O шкідливого програмного забезпечення Realst, знайдених iamdeadlyz, зосередившись на його версіях для macOS, і виявила кілька чітких відмінностей.

Це дозволило дослідникам ідентифікувати 16 варіантів шкідливого програмного забезпечення для macOS, що свідчить про активний і швидкий розвиток.

Під час завантаження підробленої гри з сайту зловмисника користувачеві буде запропоновано шкідливе програмне забезпечення для Windows або macOS, залежно від його операційної системи.

Зазвичай це RedLine Stealer, але іноді зустрічаються й інші шкідливі програми, такі як Raccoon Stealer та AsyncRAT.

Для користувачів Mac сайти поширюють шкідливе програмне забезпечення для викрадення інформації Realst, яке націлене на пристрої Mac у вигляді PKG-інсталяторів або DMG-файлів дисків, що містять шкідливі Mach-O-файли, але не містять справжніх ігор або іншого програмного забезпечення-приманки.

Файл “game.py” – це крос-платформний інфокрадій для Firefox, а “installer.py” – “chainbreaker”, програма з відкритим вихідним кодом для вилучення паролів, ключів і сертифікатів з бази даних ланцюжка ключів macOS.

SentinelOne виявив, що деякі зразки підписані з використанням дійсних (нині анульованих) ідентифікаторів розробника Apple або спеціальних підписів, щоб обійти виявлення інструментами безпеки.