Phần mềm độc hại Mac mới có tên “Realst” đang được sử dụng trong một chiến dịch lớn nhắm mục tiêu vào máy tính Apple. Tệ hơn nữa, một số biến thể mới nhất có thể tấn công macOS 14 Sonoma, hệ điều hành vẫn đang được phát triển. Vì vậy, nếu bạn có máy Mac và sử dụng tiền điện tử, đừng bỏ qua cảnh báo này!
Nếu bạn có máy Mac và sử dụng tiền điện tử, cảnh báo này là dành cho bạn!
Phần mềm độc hại lần đầu tiên được phát hiện bởi nhà điều tra bảo mật iamdeadlyz. Nó được phân phối tới người dùng Windows và macOS dưới dạng trò chơi blockchain giả mạo. Tuy nhiên, họ sử dụng những cái tên như Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles và SaintLegend.
Những trò chơi này nổi bật trên mạng xã hội nhờ các chương trình khuyến mãi. Trong khi đó, bọn tội phạm sử dụng tin nhắn trực tiếp để chia sẻ mã truy cập cần thiết để tải xuống ứng dụng trò chơi giả mạo từ các trang web liên quan.
Mật mã cho phép các tác nhân đe dọa xem xét kỹ lưỡng những người mà chúng định nhắm tới và trốn tránh các nhà điều tra bảo mật muốn tiết lộ hành vi nguy hiểm.
Trên thực tế, những người cài đặt trò chơi đã lây nhiễm phần mềm độc hại đánh cắp thông tin vào thiết bị. Một ví dụ về điều này là RedLine Stealer trong Windows và Realst trên macOS. Loại phần mềm độc hại này đánh cắp dữ liệu từ trình duyệt và ứng dụng ví tiền điện tử của nạn nhân rồi gửi lại cho kẻ đe dọa.
SentinelOne đã phân tích 59 mẫu phần mềm độc hại Mach-O Realst được tìm thấy bởi iamdeadlyz, tập trung vào các phiên bản macOS của chúng và tìm thấy một số điểm khác biệt rõ rệt.
Điều này cho phép các nhà nghiên cứu xác định 16 biến thể của phần mềm độc hại macOS, một dấu hiệu cho thấy sự phát triển tích cực và nhanh chóng.
Phần mềm độc hại thực sự dành cho Mac
Bằng cách tải xuống trò chơi giả mạo từ trang web của kẻ đe dọa, phần mềm độc hại có thể Windows hoặc macOS, tùy thuộc vào bạn sistema operativo.
Phần mềm độc hại dành cho Windows thường là RedLine Stealer, nhưng đôi khi chúng cũng cung cấp các phần mềm độc hại khác như Raccoon Stealer và AsyncRAT.
Đối với người dùng Mac, các trang web này phân phối phần mềm độc hại Realst, nhắm mục tiêu vào các thiết bị Mac dưới dạng trình cài đặt PKG hoặc tệp đĩa DMG chứa tệp Mach-O độc hại nhưng không có trò chơi thực hoặc phần mềm giải mã khác.
Tuy nhiên, công ty bảo mật SentinelOne đã phát hiện ra rằng một số mã đi kèm bằng cách sử dụng Apple ID nhà phát triển hợp lệ (hiện đã bị thu hồi) hoặc chữ ký đặc biệt để tránh bị các công cụ bảo mật phát hiện.
Tất cả 16 biến thể Realst khác nhau được SentinelOne phân tích đều rất giống nhau về hình thức và chức năng, mặc dù chúng sử dụng các nhóm lệnh gọi API khác nhau.
Trong mọi trường hợp, phần mềm độc hại nhắm mục tiêu vào Firefox, Chrome, Opera, Brave, Vivaldi và ứng dụng Telegram, nhưng không có mẫu Realst nào được phân tích nhắm mục tiêu vào Safari.
Người dùng MacOS phải cẩn thận với các trò chơi blockchain. Điều này là do những người phân phối Realst sử dụng các kênh Discord và tài khoản “đã được xác minh” trên Twitter để tạo ra một hình ảnh sai lệch về tính hợp pháp.
Những trò chơi này đặc biệt nhắm mục tiêu đến người dùng tiền điện tử. Vì vậy, mục tiêu chính có thể là đánh cắp ví tiền điện tử và số tiền chứa trong đó, dẫn đến các cuộc tấn công tốn kém.
