Um novo malware para Mac, chamado “Realst”, está sendo usado em uma campanha massiva voltada para computadores Apple. De acordo com o BleepingComputer, o malware, descoberto pelo pesquisador de segurança iamdeadlyz, pode roubar criptomoedas de usuários.
O malware tem algumas variantes, incluindo suporte para macOS 14 Sonoma, que ainda está em desenvolvimento.
O malware chega até as vítimas por meio de falsos jogos de blockchain usando nomes como Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles e SaintLegend. Os agentes maliciosos promovem esses jogos fraudulentos nas redes sociais. m seguida, enviam por mensagens diretas os códigos de acesso necessários para baixar o jogo falso.
Os códigos de acesso permitem, então, que os agentes detectem aqueles que desejam atingir. Ao mesmo tempo, os ajuda a evitar os pesquisadores de segurança que podem revelar o ataque.
De acordo com o pesquisador que descobriu o malware, esse tipo de software malicioso rouba dados dos navegadores da vítima e dos aplicativos de carteira de criptomoedas e os envia de volta aos agentes da ameaça. Dessa forma, os hackers conseguem roubar os criptoativos das vítimas.
O SentinelOne analisou 59 amostras Mach-O do malware Realst encontrado pelo pesquisador, com foco em suas versões macOS. Os analistas identificaram 16 variantes do malware macOS, um sinal de desenvolvimento ativo e rápido, segundo eles.
Em todos os casos, o malware tem como alvo navegadores como Firefox, Chrome, Opera, Brave, Vivaldi e o aplicativo Telegram. No entanto, nenhuma das amostras analisadas do Realst tem como alvo o Safari.
Além disso, o SentinelOne descobriu que algumas amostras são coprojetadas usando IDs de desenvolvedor da Apple válidas (agora revogadas) ou assinaturas ad hoc, para contornar a detecção das ferramentas de segurança.
“A maioria das variantes tenta obter a senha do usuário por meio de falsificação de osascript e AppleScript e executa uma verificação rudimentar de que o dispositivo host não é uma máquina virtual por meio de sysctl -n hw.model”, explicou SentinelOne.
Ainda segundo a empresa de segurança, os dados coletados vão para uma pasta chamada de “dados”. Essa pasta pode aparecer em um dos vários locais, dependendo da versão do malware.
A SentinelOne descobriu ainda que os autores do malware já estão se preparando para o próximo lançamento do sistema operacional de desktop da Apple.
Os pesquisadores aconselharam os usuários do MacOS a serem cautelosos com os jogos blockchain. Isso porque aqueles que distribuem o Realst usam canais Discord e contas “verificadas” do Twitter para criar uma falsa imagem de legitimidade.
“Além disso, como esses jogos visam especificamente usuários de criptomoedas, o objetivo principal provavelmente é roubar carteiras cripto e os fundos dentro delas, levando a ataques dispendiosos”, concluíram.