Новая малварь для Mac носит название Realst и уже используется для атак на устройства Apple. Интересно, что некоторые из последних версий инфостилера поддерживают даже macOS 14 Sonoma, которая еще находится в разработке.
Realst написан на Rust и обычно распространяется под видом фальшивых блокчейн-игр (например, Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles). Вредонос способен похищать данные криптовалютных кошельков жертв, а также сохраненные пароли и другую информацию из браузеров.
Сайт одной из фальшивых игр. Фото: iamdeadlyz
Как сообщают эксперты компании SentinelOne, каждая из фальшивых блокчейн-игр размещается на собственном сайте и имеет соответствующие учетные записи в Twitter и Discord. Суммарно аналитики обнаружили 16 вариантов и 59 образцов Realst. Сообщается, что эта малварь, вероятно, связана с другой вредоносной кампанией Pureland, о которой стало известно в начале марта 2023 года.
Атаки Realst обычно начинаются с того, что вышеупомянутые игры рекламируются в социальных сетях, а также злоумышленники обращаются к потенциальным жертвам в личных сообщениях, убеждая их протестировать игру в рамках платного сотрудничества.
Интересно, что хакеры используют личные сообщения для предоставления жертвам кодов доступа, которые необходимы для загрузки фейковых игровых клиентов с соответствующих сайтов. Эти коды позволяют злоумышленникам проверить людей, которых они хотят атаковать, и избежать ненужного внимания со стороны ИБ-исследователей.
Хакеры шлют личные сообщения потенциальной жертве
Однако после запуска такой «игры» пользователь лишается своей криптовалюты и конфиденциальных данных. При этом пользователи Windows получают вместо игры известного инфостилера RedLine (также замечены заражения Raccoon Stealer и AsyncRAT), а пользователей macOS атакует именно Realst.
Сообщается, что помимо криптовалютных кошельков Realst ворует информацию из браузеров Brave, Google Chrome, Mozilla Firefox, Opera и Vivaldi (Apple Safari является исключением). Кроме того, малварь может собирать информацию из Telegram и делать скриншоты.
Исследователи советуют пользователям macOS быть осторожнее с блокчейн-играми, а также внимательнее относится к каналами в Discord и «подтвержденным» учетным записям в Twitter, которые злоумышленник часто используют для создания видимой легитимности происходящего.
Realst написан на Rust и обычно распространяется под видом фальшивых блокчейн-игр (например, Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles). Вредонос способен похищать данные криптовалютных кошельков жертв, а также сохраненные пароли и другую информацию из браузеров.
Сайт одной из фальшивых игр. Фото: iamdeadlyz
Как сообщают эксперты компании SentinelOne, каждая из фальшивых блокчейн-игр размещается на собственном сайте и имеет соответствующие учетные записи в Twitter и Discord. Суммарно аналитики обнаружили 16 вариантов и 59 образцов Realst. Сообщается, что эта малварь, вероятно, связана с другой вредоносной кампанией Pureland, о которой стало известно в начале марта 2023 года.
Атаки Realst обычно начинаются с того, что вышеупомянутые игры рекламируются в социальных сетях, а также злоумышленники обращаются к потенциальным жертвам в личных сообщениях, убеждая их протестировать игру в рамках платного сотрудничества.
Интересно, что хакеры используют личные сообщения для предоставления жертвам кодов доступа, которые необходимы для загрузки фейковых игровых клиентов с соответствующих сайтов. Эти коды позволяют злоумышленникам проверить людей, которых они хотят атаковать, и избежать ненужного внимания со стороны ИБ-исследователей.
Хакеры шлют личные сообщения потенциальной жертве
Однако после запуска такой «игры» пользователь лишается своей криптовалюты и конфиденциальных данных. При этом пользователи Windows получают вместо игры известного инфостилера RedLine (также замечены заражения Raccoon Stealer и AsyncRAT), а пользователей macOS атакует именно Realst.
Сообщается, что помимо криптовалютных кошельков Realst ворует информацию из браузеров Brave, Google Chrome, Mozilla Firefox, Opera и Vivaldi (Apple Safari является исключением). Кроме того, малварь может собирать информацию из Telegram и делать скриншоты.
Исследователи советуют пользователям macOS быть осторожнее с блокчейн-играми, а также внимательнее относится к каналами в Discord и «подтвержденным» учетным записям в Twitter, которые злоумышленник часто используют для создания видимой легитимности происходящего.
