Новая малварь для Mac носит название Realst и уже используется для атак на устройства Apple. Интересно, что некоторые из последних версий инфостилера поддерживают даже macOS 14 Sonoma, которая еще находится в разработке.
Realst написан на Rust и обычно распространяется под видом фальшивых блокчейн-игр (например, Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles). Вредонос способен похищать данные криптовалютных кошельков жертв, а также сохраненные пароли и другую информацию из браузеров.
Как сообщают эксперты компании SentinelOne, каждая из фальшивых блокчейн-игр размещается на собственном сайте и имеет соответствующие учетные записи в Twitter и Discord. Суммарно аналитики обнаружили 16 вариантов и 59 образцов Realst. Сообщается, что эта малварь, вероятно, связана с другой вредоносной кампанией Pureland, о которой стало известно в начале марта 2023 года.
«Несмотря на кроссплатформенные возможности Rust, пока мы не наблюдаем вариантов Realst на других платформах, — говорят исследователи. — Вредоносное ПО Realst явно разработано человеком с хорошим знанием среды macOS и не является обычными портом какого-либо другого вредоноса».
Атаки Realst обычно начинаются с того, что вышеупомянутые игры рекламируются в социальных сетях, а также злоумышленники обращаются к потенциальным жертвам в личных сообщениях, убеждая их протестировать игру в рамках платного сотрудничества.
Интересно, что хакеры используют личные сообщения для предоставления жертвам кодов доступа, которые необходимы для загрузки фейковых игровых клиентов с соответствующих сайтов. Эти коды позволяют злоумышленникам проверить людей, которых они хотят атаковать, и избежать ненужного внимания со стороны ИБ-исследователей.
Однако после запуска такой «игры» пользователь лишается своей криптовалюты и конфиденциальных данных. При этом пользователи Windows получают вместо игры известного инфостилера RedLine (также замечены заражения Raccoon Stealer и AsyncRAT), а пользователей macOS атакует именно Realst.
Сообщается, что помимо криптовалютных кошельков Realst ворует информацию из браузеров Brave, Google Chrome, Mozilla Firefox, Opera и Vivaldi (Apple Safari является исключением). Кроме того, малварь может собирать информацию из Telegram и делать скриншоты.
«Большинство вариантов [малвари] пытаются узнать пароль пользователя с помощью osascript и спуфинга AppleScript, а также выполнить элементарную проверку того, что хост-устройство не является виртуальной машиной, с помощью sysctl -n hw.model, — рассказывают в SentinelOne. — Количество найденных образцов Realst и их вариации показывают, что злоумышленники приложили серьезные усилия, чтобы атаковать пользователей macOS, нацеливаясь на кражу информации и данных криптокошельков».
Исследователи советуют пользователям macOS быть осторожнее с блокчейн-играми, а также внимательнее относится к каналами в Discord и «подтвержденным» учетным записям в Twitter, которые злоумышленник часто используют для создания видимой легитимности происходящего.
