Naujas kenkėjas nusitaikė į Mac naudotojų duomenis ir kriptovaliutų pinigines
Nauja ir plataus masto kenkėjiškų programų kampanija atakuoja „Windows“ ir „Mac“ sistemas, įskaitant vis dar kuriamą „macOS 14 Sonoma“, siekdama pavogti žiniatinklio naršyklės duomenis, sužinoti naudotojų slaptažodžius ir ištuštinti kriptovaliutų pinigines.
Pavadinta „Realst“, kenkėjiška programa apsimetinėja netikrais „blockchain“ žaidimais įvairiais pavadinimais, tokiais kaip „Brawl Earth“, „WildWorld“, „Dawnland“, „Destruction“, „Evolion“, „Pearl“, „Olymp of Reptiles“ ir „SaintLegend“.
Atrodo, kad kampanijoje, kuri reklamuojama socialinėje žiniasklaidoje, aukoms privilioti naudojami įvairūs būdai. Tiems, kurie yra pasiduoda apgaulei ir nusprendžia atsisiųsti netikrą žaidimą, vienas iš darbuotojų nusiunčia aukai žinutę su kodu – tariamai reikalingu norint atsisiųsti žaidimą, tačiau jis iš tikrųjų naudojamas stebėti, kuris darbuotojas pagavo taikinį.
Naudojantiems „Windows“ įrenginius, diegiamos liūdnai pagarsėjusios kenkėjiškos programos, tokios kaip „RedLine“, „Racoon“ ir „AsyncRAT“, o „Mac“ įrenginiuose – „Realst“. Tai informacijos vagys, kurie ima duomenis iš vartotojo naršyklės ir kriptovaliutų piniginės aplikacijų.
Tyrėjai iki šiol nustatė 16 „Realst“ variantų, o tai rodo, kad kenkėjo plėtra yra labai aktyvi. Kenkėjiška programa pristatoma kaip PKG diegimo programos arba DMG diskas, kuriame yra kenkėjiškų „Mach-O“ failų ir nėra jokių žaidimų ar programinės įrangos failų.
Tarp įdiegtų failų yra „game.py“, kuris iš tikrųjų vagia duomenis iš „Firefox“ naršyklės, ir „installer.py“, kuris vagia slaptažodžius iš „Apple“ slaptažodžių tvarkyklės „Keychain“.
Vienas tyrėjas netgi nustatė, kad kai kurie kenkėjiškų programų pavyzdžiai buvo pasirašyti naudojant galiojančius „Apple Developer ID“, kad būtų išvengta sistemos ir kitų saugos programinės įrangos aptikimo. Šie programuotojų parašai dabar jau atšaukti.
Visi kenkėjo variantai atrodo gana panašūs, nors kiekvienas turi skirtingus API rinkinius. Įdomu tai, kad „Apple“ „Safari“ yra viena iš nedaugelio naršyklių, kuriai netaikoma „Realst“. Tuo tarpu „Chrome“, „Firefox“, „Opera“, „Brave“ ir „Vivaldi“ yra kenkėjiškų programų taikiniai. Taikomasi net į liūdnai pagarsėjusią šifruotų pranešimų paslaugą „Telegram“.
Saugos įmonė „SentinelOne“ suskirstė variantus į 4 grupes, iš kurių populiariausia yra A šeima ir kuri naudoja „AppleScript“, kad apgautų aukas ir šios įvestų sistemos slaptažodį dialogo lange.
Taip pat nustatyta, kad 30 proc. A, B ir D šeimų analizuotų programos pavyzdžių elementų, skirti „macOS Sonoma“, kuri dar tik bus išleista.
„Surinkti duomenys numetami į aplanką, pavadintą tiesiog „data“, kuris gali būti vienoje iš kelių vietų, priklausomai nuo kenkėjiškos programos versijos: vartotojo namų aplanke, kenkėjiškos programos darbiniame kataloge arba aplanke pavadintame žaidimo vardu“, – rašoma pranešime.