Malware Mac baru bernama “Realst” sedang digunakan dalam kampanye besar-besaran yang menargetkan komputer Apple, dengan beberapa varian terbarunya termasuk dukungan untuk macOS 14 Sonoma, yang masih dalam pengembangan.
Malware, pertama kali ditemukan oleh peneliti keamanan iamdeadlyzdidistribusikan ke pengguna Windows dan macOS dalam bentuk game blockchain palsu menggunakan nama seperti Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles, dan SaintLegend.
Permainan ini dipromosikan di media sosial, dengan pelaku ancaman menggunakan pesan langsung untuk membagikan kode akses yang diperlukan untuk mengunduh klien permainan palsu dari situs web terkait.
Kode akses memungkinkan pelaku ancaman untuk memeriksa orang yang ingin mereka targetkan dan menghindari peneliti keamanan yang ingin mengungkap perilaku berbahaya.
Pada kenyataannya, penginstal game menginfeksi perangkat dengan malware pencuri informasi, seperti RedLine Stealer di Windows dan Realst di macOS. Malware ini akan mencuri data dari browser web korban dan aplikasi dompet cryptocurrency dan mengirimkannya kembali ke pelaku ancaman.
Sumber: iamdeadlyz.gitbook.io
SentinelOne menganalisis 59 sampel Mach-O dari malware Realst yang ditemukan oleh iamdeadlyz, berfokus pada versi macOS-nya, dan menemukan beberapa perbedaan berbeda.
Ini memungkinkan para peneliti untuk mengidentifikasi 16 varian malware macOS, tanda perkembangan yang aktif dan cepat.
Malware Realst Mac
Saat mengunduh game palsu dari situs aktor ancaman, mereka akan ditawari malware Windows atau macOS, tergantung pada OS mereka.
Malware Windows biasanya adalah RedLine Stealer, tetapi terkadang malware lain seperti Raccoon Stealer dan AsyncRAT.
Untuk pengguna Mac, situs tersebut akan mendistribusikan malware pencuri informasi Realst, yang menargetkan perangkat Mac sebagai penginstal PKG atau file disk DMG yang berisi file Mach-O berbahaya tetapi tidak ada game nyata atau perangkat lunak pemikat lainnya.
File “game.py” adalah infostealer Firefox lintas platform dan “installer.py” adalah “chainbreaker”, sebuah kata sandi, kunci, dan ekstraktor database rantai kunci macOS sumber terbuka.
SentinelOne menemukan bahwa beberapa sampel diberi tanda kode menggunakan ID Pengembang Apple yang valid (sekarang dicabut), atau tanda tangan ad-hoc, untuk melewati deteksi dari alat keamanan.
Varian
Semua 16 varian Realst berbeda yang dianalisis oleh SentinelOne cukup mirip dalam bentuk dan fungsi, meskipun mereka menggunakan kumpulan panggilan API yang berbeda.
Dalam semua kasus, malware menargetkan Firefox, Chrome, Opera, Brave, Vivaldi, dan aplikasi Telegram, tetapi tidak ada sampel Realst yang dianalisis yang menargetkan Safari.
“Sebagian besar varian berusaha mengambil kata sandi pengguna melalui osascript dan spoofing AppleScript dan melakukan pemeriksaan dasar bahwa perangkat host bukan mesin virtual melalui sysctl -n hw.model,” jelas SentinelOne dalam laporan.
“Data yang terkumpul dimasukkan ke dalam folder bernama “data” [which] mungkin muncul di salah satu dari beberapa lokasi bergantung pada versi malware: di folder utama pengguna, di direktori kerja malware, atau di folder yang dinamai menurut nama game induk.”
16 varian berbeda dikategorikan ke dalam empat keluarga utama berdasarkan sifatnya, yaitu A, B, C, dan D.
Keluarga A, yang memiliki sampel paling banyak beredar, menggunakan “Pemalsuan AppleScript” untuk mengelabui korban agar mengetik kata sandi admin mereka di kotak dialog.
Keluarga B mirip dengan A dan juga menggunakan spoofing kata sandi tetapi membagi string yang relevan menjadi unit yang lebih kecil untuk menghindari deteksi statis sederhana.
Family C juga memiliki referensi ke chainbreaker di dalam biner itu sendiri, yang memungkinkannya untuk mengekstrak data dari database gantungan kunci sistem.
Terakhir, Keluarga D menggunakan jendela Terminal untuk meminta korban memasukkan kata sandinya, yang digunakan untuk membuang kredensial yang tersimpan di Keychain.
Dalam beberapa kasus, Family D memanfaatkan kata sandi yang diperoleh untuk mendapatkan hak admin pada sistem dan menginstal pustaka kriptografi Python “pycryptodome”, yang juga digunakan untuk membuang kredensial dari Keychain.
Sekitar 30% sampel dari keluarga A, B, dan D berisi string yang menargetkan macOS 14 Sonoma mendatang.
Kehadiran string tersebut menunjukkan bahwa pembuat malware sudah mempersiapkan rilis OS desktop Apple yang akan datang, memastikan bahwa Realst akan kompatibel dan berfungsi seperti yang diharapkan.
Pengguna MacOS disarankan untuk berhati-hati dengan game blockchain, karena mereka yang mendistribusikan Realst menggunakan saluran Discord dan akun Twitter “terverifikasi” untuk membuat citra legitimasi palsu.
Selain itu, karena game ini secara khusus menargetkan pengguna mata uang kripto, tujuan utamanya adalah mencuri dompet kripto dan dana di dalamnya, yang menyebabkan serangan yang mahal.
