Malware Realst Mac
Un nuevo malware para Mac llamado Realst ha surgido como parte de una campaña de ataque masivo dirigida específicamente a las computadoras Apple. Lo que es aún más preocupante es que algunas de sus últimas versiones se han adaptado para explotar macOS 14 Sonoma, un sistema operativo que aún se encuentra en etapa de desarrollo.
La distribución de este malware no se limita a los usuarios de macOS, ya que también se dirige a los dispositivos de Windows. Los atacantes están disfrazando astutamente el malware como falsos juegos de cadena de bloques, dándoles nombres como Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles y SaintLegend.
Para atraer a las víctimas a que descarguen el software amenazante, estos juegos falsos se promocionan mucho en las redes sociales. Los actores de amenazas emplean mensajes directos para compartir los códigos de acceso necesarios para descargar el cliente de juego falso de los sitios web asociados. Mediante el uso de estos códigos de acceso, los atacantes pueden seleccionar cuidadosamente sus objetivos y evitar que los investigadores de seguridad los detecten y traten de descubrir sus actividades inseguras.
Los supuestos instaladores de juegos infectan los dispositivos de las víctimas con malware que recopila información. Las amenazas se especializan en recopilar datos confidenciales de los navegadores web de la víctima y las aplicaciones de billetera de criptomonedas, y envían la información recopilada directamente a los actores de la amenaza.
Los investigadores se centraron principalmente en las versiones macOS del malware Realst y descubrieron al menos 16 variantes con diferencias notables entre ellas, lo que indica un proceso de desarrollo continuo y acelerado.
Cadena de ataque de Realst macOS Stealer Threat
Cuando los usuarios descargan el juego falso del sitio web del actor de la amenaza, encontrarán diferentes programas maliciosos según su sistema operativo, ya sea Windows o macOS. Para los usuarios de Windows, el malware común que se distribuye es RedLine Stealer . Sin embargo, a veces, otras variantes de malware como Raccoon Stealer y AsyncRAT también pueden estar involucradas.
Por otro lado, los usuarios de Mac se infectarán con el malware de robo de información Realst, que se disfraza de instaladores PKG o archivos de disco DMG. Estos archivos afirman contener contenido de juegos pero, en realidad, solo albergan archivos Mach-O inseguros sin juegos reales ni software legítimo.
Entre los componentes maliciosos, el archivo 'game.py' sirve como un ladrón de información de Firefox multiplataforma. Al mismo tiempo, el 'installer.py' está etiquetado como 'chainbreaker', diseñado para extraer contraseñas, claves y certificados de la base de datos de llaveros de macOS.
Para evadir la detección por parte de las herramientas de seguridad, algunas muestras se codiseñaron utilizando identificaciones de desarrollador de Apple previamente válidas (pero ahora revocadas) o firmas ad-hoc. Esta táctica permite que el malware pase las medidas de seguridad y permanezca oculto.
Numerosas versiones de Realst Malware descubiertas en ataques
Hasta ahora, se han identificado 16 variantes distintas de Realst. Aunque comparten similitudes significativas en estructura y función, las variantes emplean diferentes conjuntos de llamadas API. Independientemente, el malware se dirige específicamente a navegadores como Firefox, Chrome, Opera, Brave, Vivaldi y la aplicación Telegram. Parece que ninguna de las muestras de Realst analizadas parece apuntar a Safari.
La mayoría de estas variantes intentan obtener la contraseña del usuario mediante el uso de técnicas de suplantación de osascript y AppleScript. Además, realizan comprobaciones básicas para asegurarse de que el dispositivo host no sea una máquina virtual, empleando sysctl -n hw.model. Luego, los datos recopilados se almacenan en una carpeta llamada "datos", que se puede encontrar en varias ubicaciones según la versión del malware: ya sea en la carpeta de inicio del usuario, el directorio de trabajo del malware o una carpeta con el nombre del juego principal.
Los investigadores clasificaron estas 16 variantes distintas en cuatro familias principales: A, B, C y D, según sus rasgos distintivos. Aproximadamente el 30 % de las muestras de las familias A, B y D contienen cadenas que apuntan al próximo macOS 14 Sonoma. Esto indica que los autores del malware ya se están preparando para el próximo lanzamiento del sistema operativo de escritorio de Apple, lo que garantiza la compatibilidad y el funcionamiento óptimo de Realst.
Dada esta amenaza, se recomienda a los usuarios de macOS que tengan cuidado con los juegos de cadena de bloques, ya que los distribuidores de Realst explotan los canales de Discord y las cuentas de Twitter "verificadas" para crear una ilusión engañosa de legitimidad. Estar alerta y verificar las fuentes de las descargas de juegos puede ayudar a protegerse contra este tipo de software amenazante.
