Новая малварь для Mac носит название Realst и уже используется для атак на устройства Apple. Интересно, что некоторые из последних версий инфостилера поддерживают даже macOS 14 Sonoma, которая еще находится в разработке.

Realst написан на Rust и обычно распространяется под видом фальшивых блокчейн-игр (например, Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles). Вредонос способен похищать данные криптовалютных кошельков жертв, а также сохраненные пароли и другую информацию из браузеров.

Сайт одной из фальшивых игр. Фото: iamdeadlyz

Как сообщают эксперты компании SentinelOne, каждая из фальшивых блокчейн-игр размещается на собственном сайте и имеет соответствующие учетные записи в Twitter и Discord. Суммарно аналитики обнаружили 16 вариантов и 59 образцов Realst. Сообщается, что эта малварь, вероятно, связана с другой вредоносной кампанией Pureland, о которой стало известно в начале марта 2023 года.

«Несмотря на кроссплатформенные возможности Rust, пока мы не наблюдаем вариантов Realst на других платформах, — говорят исследователи. — Вредоносное ПО Realst явно разработано человеком с хорошим знанием среды macOS и не является обычными портом какого-либо другого вредоноса».

Атаки Realst обычно начинаются с того, что вышеупомянутые игры рекламируются в социальных сетях, а также злоумышленники обращаются к потенциальным жертвам в личных сообщениях, убеждая их протестировать игру в рамках платного сотрудничества.

Интересно, что хакеры используют личные сообщения для предоставления жертвам кодов доступа, которые необходимы для загрузки фейковых игровых клиентов с соответствующих сайтов. Эти коды позволяют злоумышленникам проверить людей, которых они хотят атаковать, и избежать ненужного внимания со стороны ИБ-исследователей.

Хакеры шлют личные сообщения потенциальной жертве

Однако после запуска такой «игры» пользователь лишается своей криптовалюты и конфиденциальных данных. При этом пользователи Windows получают вместо игры известного инфостилера RedLine (также замечены заражения Raccoon Stealer и AsyncRAT), а пользователей macOS атакует именно Realst.

Сообщается, что помимо криптовалютных кошельков Realst  ворует информацию из браузеров Brave, Google Chrome, Mozilla Firefox, Opera и Vivaldi (Apple Safari является исключением). Кроме того, малварь может собирать информацию из Telegram и делать скриншоты.

«Большинство вариантов [малвари] пытаются узнать пароль пользователя с помощью osascript и спуфинга AppleScript, а также выполнить элементарную проверку того, что хост-устройство не является виртуальной машиной, с помощью sysctl -n hw.model, — рассказывают в SentinelOne. — Количество найденных образцов Realst и их вариации показывают, что злоумышленники приложили серьезные усилия, чтобы атаковать пользователей macOS, нацеливаясь на кражу информации и данных криптокошельков».

Исследователи советуют пользователям macOS быть осторожнее с блокчейн-играми, а также внимательнее относится к каналами в Discord и «подтвержденным» учетным записям в Twitter, которые злоумышленник часто используют для создания видимой легитимности происходящего.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии