Realst Mac Malware

Realst という名前の新しい Mac マルウェアが、特に Apple コンピュータをターゲットとした大規模な攻撃キャンペーンの一環として出現しました。さらに懸念されるのは、その最新バージョンの一部が、まだ開発段階にあるオペレーティング システムである macOS 14 Sonoma を悪用するように適合されていることです。

このマルウェアの配布は macOS ユーザーに限定されず、Windows デバイスもターゲットにしています。攻撃者は巧妙にマルウェアを偽のブロックチェーン ゲームに偽装し、Brawl Earth、WildWorld、Dawnland、Destruction、Evolion、Pearl、Olymp of Reptiles、SaintLegend などの名前を付けています。

被害者を誘惑して脅迫的なソフトウェアをダウンロードさせるために、これらの偽ゲームはソーシャル メディアで大々的に宣伝されています。攻撃者はダイレクト メッセージを使用して、関連 Web サイトから偽のゲーム クライアントをダウンロードするために必要なアクセス コードを共有します。これらのアクセス コードを使用することで、攻撃者はターゲットを慎重に選択し、危険なアクティビティを明らかにしようとするセキュリティ研究者による検出を回避できます。

ゲームのインストーラーとされるものは、情報を収集するマルウェアで被害者のデバイスを感染させます。この脅威は、被害者の Web ブラウザや暗号通貨ウォレット アプリケーションから機密データを収集することに特化しており、収集した情報を脅威アクターに直接送信します。

研究者らは主に Realst マルウェアの macOS バージョンに焦点を当て、それらの間に顕著な違いがある少なくとも 16 の亜種を発見しました。これは、継続的でペースの速い開発プロセスを示しています。

最も現実的な macOS Stealer 脅威の攻撃チェーン

ユーザーが脅威アクターの Web サイトから偽のゲームをダウンロードすると、オペレーティング システム (Windows または macOS) に基づいて異なるマルウェアに遭遇します。 Windows ユーザーの場合、配布されている一般的なマルウェアはRedLine Stealerです。ただし、場合によっては、 Raccoon StealerやAsyncRATなどの他のマルウェア亜種も関与している可能性があります。

一方、Mac ユーザーは、PKG インストーラーまたは DMG ディスク ファイルを装った Realst 情報窃取マルウェアに感染します。これらのファイルにはゲーム コンテンツが含まれていると主張されていますが、実際には、実際のゲームや正規のソフトウェアを含まない安全でない Mach-O ファイルのみが含まれています。

悪意のあるコンポーネントのうち、「game.py」ファイルは、クロスプラットフォームの Firefox 情報窃取ツールとして機能します。同時に、「installer.py」には「チェーンブレーカー」というラベルが付けられ、macOS キーチェーン データベースからパスワード、キー、証明書を抽出するように設計されています。

セキュリティ ツールによる検出を回避するために、一部のサンプルは、以前は有効であった (現在は無効になっている) Apple Developer ID またはアドホック署名を使用して共同署名されています。この戦術により、マルウェアがセキュリティ対策をすり抜けて隠れたままになることが可能になります。

多数の実際のマルウェア バージョンが攻撃で発見される

これまでのところ、Realst の 16 の異なる亜種が確認されています。構造と機能には大きな類似点がありますが、これらのバリアントは異なる API 呼び出しセットを使用します。いずれにせよ、このマルウェアは特に Firefox、Chrome、Opera、Brave、Vivaldi、Telegram アプリなどのブラウザをターゲットにしています。分析された Realst サンプルはいずれも Safari をターゲットにしていないようです。

これらの亜種のほとんどは、osascript および AppleScript のスプーフィング技術を使用してユーザーのパスワードを取得しようとします。さらに、sysctl -n hw.model を使用して、ホスト デバイスが仮想マシンではないことを確認するための基本的なチェックを実行します。収集されたデータは、「data」という名前のフォルダーに保存されます。このフォルダーは、マルウェアのバージョンに応じてさまざまな場所 (ユーザーのホーム フォルダー、マルウェアの作業ディレクトリ、または親ゲームの名前にちなんだフォルダー) にあります。

研究者らは、これら 16 の異なる変異を、その際立った特徴に基づいて 4 つの主要なファミリー (A、B、C、D) に分類しました。ファミリ A、B、D のサンプルの約 30% には、次期 macOS 14 Sonoma をターゲットとする文字列が含まれています。これは、マルウェア作成者が既に Apple の今後のデスクトップ OS リリースに向けて準備を進めており、Realst の互換性と最適な機能を確保していることを示しています。

この脅威を考慮すると、Realst のディストリビューターが Discord チャンネルと「認証済み」Twitter アカウントを悪用して正当性があるかのような欺瞞的な錯覚を作り出すため、macOS ユーザーはブロックチェーン ゲームに注意することが推奨されます。ゲームのダウンロード元を注意深く確認することは、このような脅威的なソフトウェアから身を守るのに役立ちます。