Új macOS kártevő, amely könnyedén ellophatja a kripto pénztárcádat, a Realst.
Egy új Mac kártevő, melyet “Realst”-ként neveztek el, hatalmas kampány keretében célozza meg az Apple számítógépeket. Legújabb variánsai közül néhány támogatja a még fejlesztés alatt álló macOS 14 Sonoma-t.
Az iamdeadlyz biztonsági kutató által először felfedezett kártevő hamis blockchain játékok formájában terjed Windows és macOS felhasználók számára, olyan nevekkel, mint a Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles és SaintLegend. Ezeket a játékokat közösségi médiában népszerűsítik, a fenyegető szereplők közvetlen üzenetekben osztják meg a hamis játék kliens letöltéséhez szükséges hozzáférési kódokat az összekötött weboldalakról. A hozzáférési kódok lehetővé teszik a fenyegető szereplők számára, hogy kiválasszák azokat, akiket meg akarnak célozni, és elkerüljék a biztonsági kutatókat, akik a kártékony viselkedést szeretnék feltárni.
A Realst Mac kártevő
Amikor a hamis játékot letöltik a fenyegető szereplő oldaláról, vagy Windows vagy macOS kártevőt kínálnak nekik, attól függően, milyen operációs rendszert használnak. A Windows kártevő általában a RedLine Stealer, de néha más kártevő is, mint például a Raccoon Stealer és az AsyncRAT.
A Mac felhasználók számára az oldalak a Realst információlopó kártevőt terjesztik, amely PKG telepítőként vagy DMG lemezként célzott Mac eszközökre, tartalmazva a káros Mach-O fájlokat, de valódi játékokat vagy más csali szoftvereket nem.
A “game.py” fájl egy cross-platform Firefox infostealer és az “installer.py” egy “chainbreaker”, amely egy nyílt forráskódú macOS kulcsadatbázis jelszó-, kulcs- és tanúsítványkivonó. A SentinelOne azt találta, hogy néhány minta kódszerkesztéssel rendelkezik érvényes (most visszavont) Apple Fejlesztői ID-k segítségével, vagy ad-hoc aláírásokkal, hogy elkerülje a biztonsági eszközök észlelését.
A változatok
A SentinelOne által elemzett 16 különböző Realst változat meglehetősen hasonló formában és funkcióban, bár eltérő API híváskészleteket használnak.
Minden esetben a kártevő a Firefox, Chrome, Opera, Brave, Vivaldi, és a Telegram alkalmazást célozza, de egyik elemzett Realst minta sem célozza a Safarit.
Elkerülés és felismerés
A felhasználóknak mindig óvatosnak kell lenniük a közösségi médiában kapott üzenetekkel, és csak olyan forrásokból kell letölteniük a szoftvereket, amelyek megbízhatónak tekinthetők. A nem hivatalos forrásokból származó játékok és szoftverek letöltése könnyen megfertőzheti a számítógépet kártékony szoftverekkel.
Az Apple felhasználóknak javasolt engedélyezni a SIP és a Gatekeeper funkciókat, hogy további védelmet nyújtsanak a kártékony szoftverek ellen. A SentinelOne új yara szabályokat adott ki a Realst kártevő azonosítására, amelyek a kutatási jelentésben megtalálhatók.
Összefoglalva, a Realst egy nagyon aktív és gyorsan fejlődő kártevő, amelynek különböző változatai többféle módon próbálják ellopni a felhasználók érzékeny adatait. A felhasználóknak óvatosnak kell lenni, és csak megbízható forrásból származó szoftvereket kell letölteniük, továbbá biztosítaniuk kell, hogy számítógépeik biztonsági mechanizmusai be vannak kapcsolva, hogy megvédjék őket a Realst és más kártevők ellen.
Forrás:
www.bleepingcomputer.com