Logiciels malveillants Realst Mac

Un nouveau malware Mac nommé Realst est apparu dans le cadre d'une campagne d'attaque massive ciblant spécifiquement les ordinateurs Apple. Ce qui est encore plus préoccupant, c'est que certaines de ses dernières versions ont été adaptées pour exploiter macOS 14 Sonoma, un système d'exploitation encore en phase de développement.

La distribution de ce malware ne se limite pas aux utilisateurs de macOS, car il cible également les appareils Windows. Les attaquants déguisent astucieusement le malware en faux jeux de blockchain, en leur donnant des noms comme Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles et SaintLegend.

Pour inciter les victimes à télécharger le logiciel menaçant, ces faux jeux sont fortement promus sur les réseaux sociaux. Les acteurs de la menace utilisent des messages directs pour partager les codes d'accès nécessaires au téléchargement du faux client de jeu à partir de sites Web associés. En utilisant ces codes d'accès, les attaquants peuvent sélectionner soigneusement leurs cibles et éviter d'être détectés par des chercheurs en sécurité qui tentent de découvrir leurs activités dangereuses.

Les installateurs de jeux supposés infectent les appareils des victimes avec des logiciels malveillants de collecte d'informations. Les menaces se spécialisent dans la collecte de données sensibles à partir des navigateurs Web et des applications de portefeuille de crypto-monnaie de la victime, en envoyant les informations collectées directement aux acteurs de la menace.

Les chercheurs se sont principalement concentrés sur les versions macOS du malware Realst et ont découvert au moins 16 variantes avec des différences notables entre elles, indiquant un processus de développement continu et rapide.

Chaîne d'attaque de la menace Realst macOS Stealer

Lorsque les utilisateurs téléchargent le faux jeu à partir du site Web de l'auteur de la menace, ils rencontreront différents logiciels malveillants en fonction de leur système d'exploitation, soit Windows, soit macOS. Pour les utilisateurs de Windows, le malware courant distribué est RedLine Stealer . Cependant, parfois, d'autres variantes de logiciels malveillants comme Raccoon Stealer et AsyncRAT peuvent également être impliquées.

D'autre part, les utilisateurs de Mac seront infectés par le logiciel malveillant voleur d'informations Realst, déguisé en programmes d'installation PKG ou en fichiers de disque DMG. Ces fichiers prétendent contenir du contenu de jeu mais, en réalité, ne contiennent que des fichiers Mach-O dangereux sans jeux réels ni logiciels légitimes.

Parmi les composants malveillants, le fichier 'game.py' sert de voleur d'informations Firefox multiplateforme. Dans le même temps, le 'installer.py' est étiqueté comme 'chainbreaker', conçu pour extraire les mots de passe, les clés et les certificats de la base de données de trousseaux macOS.

Pour échapper à la détection par les outils de sécurité, certains échantillons ont été codés à l'aide d'identifiants de développeur Apple précédemment valides (mais maintenant révoqués) ou de signatures ad hoc. Cette tactique permet au logiciel malveillant de contourner les mesures de sécurité et de rester caché.

De nombreuses versions de logiciels malveillants Realst découvertes lors d'attaques

Jusqu'à présent, 16 variantes distinctes de Realst ont été identifiées. Bien que partageant des similitudes importantes dans la structure et la fonction, les variantes utilisent différents ensembles d'appels d'API. Quoi qu'il en soit, le logiciel malveillant cible spécifiquement les navigateurs tels que Firefox, Chrome, Opera, Brave, Vivaldi et l'application Telegram. Il semble qu'aucun des échantillons Realst analysés ne semble cibler Safari.

La plupart de ces variantes tentent d'obtenir le mot de passe de l'utilisateur en utilisant les techniques d'usurpation osascript et AppleScript. De plus, ils effectuent des vérifications de base pour s'assurer que le périphérique hôte n'est pas une machine virtuelle, en utilisant le sysctl -n hw.model. Les données collectées sont ensuite stockées dans un dossier nommé "data", qui peut être trouvé à différents endroits selon la version du malware : soit dans le dossier d'accueil de l'utilisateur, soit dans le répertoire de travail du malware, soit dans un dossier nommé d'après le jeu parent.

Les chercheurs ont classé ces 16 variantes distinctes en quatre familles principales : A, B, C et D, en fonction de leurs traits distinctifs. Environ 30 % des échantillons des familles A, B et D contiennent des chaînes qui ciblent le prochain macOS 14 Sonoma. Cela indique que les auteurs de logiciels malveillants se préparent déjà à la prochaine version du système d'exploitation de bureau d'Apple, garantissant la compatibilité et le fonctionnement optimal de Realst.

Compte tenu de cette menace, les utilisateurs de macOS sont invités à faire preuve de prudence avec les jeux blockchain, car les distributeurs de Realst exploitent les canaux Discord et les comptes Twitter "vérifiés" pour créer une illusion trompeuse de légitimité. Être vigilant et vérifier les sources des téléchargements de jeux peut aider à se protéger contre ces logiciels menaçants.