Um novo malware para Mac chamado "Realst" está sendo usado em uma campanha massiva direcionada a computadores da Apple, com algumas de suas variantes mais recentes incluindo suporte para o macOS 14 Sonoma, que ainda está em desenvolvimento.
O malware, descoberto inicialmente pelo pesquisador de segurança iamdeadlyz, é distribuído tanto para usuários do Windows quanto do macOS na forma de falsos jogos de blockchain usando nomes como Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles, e SaintLegend.
Esses jogos são promovidos nas redes sociais, com os atores de ameaças usando mensagens diretas para compartilhar códigos de acesso necessários para baixar o falso cliente do jogo em sites associados.
Os códigos de acesso permitem que os atores de ameaças avaliem aqueles que desejam alvejar e evitem pesquisadores de segurança que querem revelar comportamentos maliciosos.
Na realidade, os instaladores dos jogos infectam dispositivos com malware de roubo de informações, como o RedLine Stealer no Windows e o Realst no macOS.
Este tipo de malware roubará dados dos navegadores web e aplicativos de carteira de criptomoedas da vítima e os enviará de volta para os atores de ameaças.
A SentinelOne analisou 59 amostras Mach-O do malware Realst encontradas pelo iamdeadlyz, focando em suas versões para macOS, e encontrou várias diferenças distintas.
Isso permitiu aos pesquisadores identificar 16 variantes do malware para macOS, um sinal de desenvolvimento ativo e rápido.
Ao baixar o falso jogo do site do autor da ameaça, será oferecido malware para Windows ou macOS, dependendo do sistema operacional do usuário.
O malware para Windows é geralmente o RedLine Stealer, mas às vezes outros malwares como o Raccoon Stealer e AsyncRAT.
Para usuários do Mac, os sites irão distribuir o malware de roubo de informações Realst, que mira nos dispositivos Mac como instaladores PKG ou arquivos de disco DMG contendo os arquivos Mach-O maliciosos, mas sem jogos reais.
O arquivo "game.py" é um infostealer do Firefox multiplataforma e "installer.py" é um "chainbreaker", um extrator de senhas, chaves e certificados do banco de dados de chaveiro macOS de código aberto.
A SentinelOne descobriu que algumas amostras são codificadas usando IDs válidos (agora revogados) de desenvolvedores da Apple, ou assinaturas ad-hoc, para contornar a detecção de ferramentas de segurança.
Todas as 16 variantes distintas de Realst analisadas pela SentinelOne são bastante semelhantes em forma e função, embora utilizem diferentes conjuntos de chamadas de API.
Em todos os casos, o malware visa Firefox, Chrome, Opera, Brave, Vivaldi e o aplicativo Telegram, mas nenhuma das amostras de Realst analisadas visa o Safari.
"A maioria das variantes tenta pegar a senha do usuário via osascript e spoofing AppleScript e realiza uma checagem rudimentar para verificar se o dispositivo host não é uma máquina virtual via sysctl -n hw.model", explica a SentinelOne no relatório.
"Os dados coletados são colocados em uma pasta simplesmente chamada "data" [que] pode aparecer em um de vários locais dependendo da versão do malware: na pasta pessoal do usuário, no diretório de trabalho do malware ou em uma pasta com o nome do jogo."
As 16 variantes distintas são categorizadas em quatro principais famílias baseadas em suas características, nomeadamente A, B, C, e D.
A Família A, que possui a maioria das amostras em circulação, usa "spoofing AppleScript" para enganar a vítima a digitar sua senha de admin em uma caixa de diálogo.
A Família B é semelhante à A e também usa spoofing de senha, mas divide as strings relevantes em unidades menores para escapar da detecção estática simples.
A Família C também tem uma referência ao chainbreaker dentro do binário em si, o que permite extrair dados do banco de dados de chaveiro do sistema.
Finalmente, a Família D usa a janela do Terminal para solicitar que a vítima insira sua senha, que é usada para descartar credenciais salvas armazenadas no Keychain.
Em alguns casos, a Família D usa a senha adquirida para obter privilégios de administrador no sistema e instalar a biblioteca de criptografia Python "pycryptodome", que também é usada para descartar credenciais do Keychain.
Cerca de 30% das amostras das Famílias A, B, e D contêm strings que miram no próximo macOS 14 Sonoma.
A presença dessas strings mostra que os autores do malware já estão se preparando para o próximo lançamento do sistema operacional de desktop da Apple, garantindo que o Realst será compatível e funcionará conforme o esperado.
É aconselhável que os usuários do macOS tenham cuidado com jogos de blockchain, pois aqueles que distribuem o Realst usam canais Discord e contas "verificadas" no Twitter para criar uma falsa imagem de legitimidade.
Além disso, como esses jogos visam especificamente usuários de criptomoedas, o objetivo principal é provavelmente roubar carteiras de criptomoedas e os fundos nelas, levando a ataques caros.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...