Um novo malware para Mac chamado “Realst” está a ser utilizado numa campanha massiva dirigida a computadores Apple. Pior ainda, algumas das últimas variantes conseguem atacar o macOS 14 Sonoma, que ainda está em desenvolvimento. Assim se tem um Mac e utiliza criptomoedas não ignore este aviso!
Se tem um Mac e utiliza criptomoedas este aviso é para si!
O malware foi descoberto pela primeira vez pelo investigador de segurança iamdeadlyz. É distribuído para utilizadores do Windows e do macOS na forma de jogos falsos de blockchain. Entretanto utilizam nomes como Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles e SaintLegend.
Estes jogos destacam-se nas redes sociais devido a promoções. Entretanto os criminosos utilizam mensagens diretas para partilhar os códigos de acesso necessários para descarregar o cliente do jogo falso a partir de sites Web associados.
Os códigos de acesso permitem que os agentes da ameaça examinem aqueles que pretendem atingir e evitem investigadores de segurança que queiram revelar comportamentos maliciosos.
Na realidade, os instaladores de jogos infetam os dispositivos com malware que rouba informações. São exemplo disso o RedLine Stealer no Windows e o Realst no macOS. Este tipo de malware rouba dados dos browsers da vítima e das aplicações de carteiras de criptomoedas e envia-os de volta para os autores da ameaça.
O SentinelOne analisou 59 amostras Mach-O do malware Realst encontradas por iamdeadlyz, concentrando-se nas suas versões macOS, e encontrou várias diferenças distintas.
Isto permitiu aos investigadores identificar 16 variantes do malware para macOS, um sinal de desenvolvimento ativo e rápido.
O verdadeiro malware para Mac
Ao descarregar o jogo falso do site do agente da ameaça, leva malware para Windows ou macOS, dependendo do seu sistema operativo.
O malware para Windows é tipicamente o RedLine Stealer, mas por vezes também oferecem outro malware como o Raccoon Stealer e o AsyncRAT.
Para os utilizadores de Mac, os sites distribuem o malware Realst, que visa dispositivos Mac como instaladores PKG ou ficheiros de disco DMG contendo os ficheiros Mach-O maliciosos, mas sem jogos reais ou outro software de engodo.
Entretanto a empresa de segurança SentinelOne descobriu que algumas chegam com códigos usando Apple Developer IDs válidos (agora revogados), ou assinaturas ad-hoc, para contornar a deteção de ferramentas de segurança.
Todas as 16 variantes distintas do Realst analisadas pelo SentinelOne são bastante semelhantes em forma e função, embora utilizem diferentes conjuntos de chamadas de API.
Em todos os casos, o malware tem como alvo o Firefox, Chrome, Opera, Brave, Vivaldi e a aplicação Telegram, mas nenhuma das amostras Realst analisadas tem como alvo o Safari.
Os utilizadores do MacOS têm de ter cuidado com os jogos de blockchain. Isto porque aqueles que distribuem o Realst utilizam canais Discord e contas “verificadas” no Twitter para criar uma falsa imagem de legitimidade.
Estes jogos visam especificamente os utilizadores de criptomoedas. Assim o principal objetivo é provavelmente roubar carteiras de criptomoedas e os fundos nelas contidos, levando a ataques dispendiosos.
