Novo malware Realst para macOS rouba suas carteiras de criptomoedas
26 de Julho de 2023

Um novo malware para Mac chamado "Realst" está sendo usado em uma campanha massiva direcionada a computadores da Apple, com algumas de suas variantes mais recentes incluindo suporte para o macOS 14 Sonoma, que ainda está em desenvolvimento.

O malware, descoberto inicialmente pelo pesquisador de segurança iamdeadlyz, é distribuído tanto para usuários do Windows quanto do macOS na forma de falsos jogos de blockchain usando nomes como Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles, e SaintLegend.

Esses jogos são promovidos nas redes sociais, com os atores de ameaças usando mensagens diretas para compartilhar códigos de acesso necessários para baixar o falso cliente do jogo em sites associados.

Os códigos de acesso permitem que os atores de ameaças avaliem aqueles que desejam alvejar e evitem pesquisadores de segurança que querem revelar comportamentos maliciosos.

Na realidade, os instaladores dos jogos infectam dispositivos com malware de roubo de informações, como o RedLine Stealer no Windows e o Realst no macOS.

Este tipo de malware roubará dados dos navegadores web e aplicativos de carteira de criptomoedas da vítima e os enviará de volta para os atores de ameaças.

A SentinelOne analisou 59 amostras Mach-O do malware Realst encontradas pelo iamdeadlyz, focando em suas versões para macOS, e encontrou várias diferenças distintas.

Isso permitiu aos pesquisadores identificar 16 variantes do malware para macOS, um sinal de desenvolvimento ativo e rápido.

Ao baixar o falso jogo do site do autor da ameaça, será oferecido malware para Windows ou macOS, dependendo do sistema operacional do usuário.

O malware para Windows é geralmente o RedLine Stealer, mas às vezes outros malwares como o Raccoon Stealer e AsyncRAT.

Para usuários do Mac, os sites irão distribuir o malware de roubo de informações Realst, que mira nos dispositivos Mac como instaladores PKG ou arquivos de disco DMG contendo os arquivos Mach-O maliciosos, mas sem jogos reais.

O arquivo "game.py" é um infostealer do Firefox multiplataforma e "installer.py" é um "chainbreaker", um extrator de senhas, chaves e certificados do banco de dados de chaveiro macOS de código aberto.

A SentinelOne descobriu que algumas amostras são codificadas usando IDs válidos (agora revogados) de desenvolvedores da Apple, ou assinaturas ad-hoc, para contornar a detecção de ferramentas de segurança.

Todas as 16 variantes distintas de Realst analisadas pela SentinelOne são bastante semelhantes em forma e função, embora utilizem diferentes conjuntos de chamadas de API.

Em todos os casos, o malware visa Firefox, Chrome, Opera, Brave, Vivaldi e o aplicativo Telegram, mas nenhuma das amostras de Realst analisadas visa o Safari.

"A maioria das variantes tenta pegar a senha do usuário via osascript e spoofing AppleScript e realiza uma checagem rudimentar para verificar se o dispositivo host não é uma máquina virtual via sysctl -n hw.model", explica a SentinelOne no relatório.

"Os dados coletados são colocados em uma pasta simplesmente chamada "data" [que] pode aparecer em um de vários locais dependendo da versão do malware: na pasta pessoal do usuário, no diretório de trabalho do malware ou em uma pasta com o nome do jogo."

As 16 variantes distintas são categorizadas em quatro principais famílias baseadas em suas características, nomeadamente A, B, C, e D.

A Família A, que possui a maioria das amostras em circulação, usa "spoofing AppleScript" para enganar a vítima a digitar sua senha de admin em uma caixa de diálogo.

A Família B é semelhante à A e também usa spoofing de senha, mas divide as strings relevantes em unidades menores para escapar da detecção estática simples.

A Família C também tem uma referência ao chainbreaker dentro do binário em si, o que permite extrair dados do banco de dados de chaveiro do sistema.

Finalmente, a Família D usa a janela do Terminal para solicitar que a vítima insira sua senha, que é usada para descartar credenciais salvas armazenadas no Keychain.

Em alguns casos, a Família D usa a senha adquirida para obter privilégios de administrador no sistema e instalar a biblioteca de criptografia Python "pycryptodome", que também é usada para descartar credenciais do Keychain.

Cerca de 30% das amostras das Famílias A, B, e D contêm strings que miram no próximo macOS 14 Sonoma.

A presença dessas strings mostra que os autores do malware já estão se preparando para o próximo lançamento do sistema operacional de desktop da Apple, garantindo que o Realst será compatível e funcionará conforme o esperado.

É aconselhável que os usuários do macOS tenham cuidado com jogos de blockchain, pois aqueles que distribuem o Realst usam canais Discord e contas "verificadas" no Twitter para criar uma falsa imagem de legitimidade.

Além disso, como esses jogos visam especificamente usuários de criptomoedas, o objetivo principal é provavelmente roubar carteiras de criptomoedas e os fundos nelas, levando a ataques caros.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...