रियलस्ट इन्फोस्टीलर को नकली ब्लॉकचेन गेम के माध्यम से वितरित किया जाता है और यह macOS ऑपरेटिंग सिस्टम को भी लक्षित करता है।
जुलाई की शुरुआत में, सुरक्षा शोधकर्ता iamdeadlyz ने कई नकली ब्लॉकचेन गेम्स की सूचना दी, जिनका उपयोग विंडोज और मैकओएस दोनों लक्ष्यों को संक्रमित करने के लिए किया जा रहा है, जिसमें इन्फोस्टीलर्स क्रिप्टो वॉलेट को खाली करने और सहेजे गए पासवर्ड और ब्राउज़िंग डेटा को चुराने में सक्षम हैं। MacOS के मामले में, इन्फोस्टीलर रस्ट में लिखा गया एक नया मैलवेयर निकला जिसे "रियलस्ट" कहा गया। पहले के विश्लेषण के आधार पर, सेंटिनललैब्स, सेंटिनलवन की अनुसंधान शाखा, ने नए मैलवेयर के 59 दुर्भावनापूर्ण मैक-ओ नमूनों की पहचान की और उनका विश्लेषण किया। यह स्पष्ट हो गया कि कुछ नमूने पहले से ही Apple के आगामी ऑपरेटिंग सिस्टम संस्करण macOS 14 Sonoma को लक्षित कर रहे हैं।
मैलवेयर का प्रसार
रियलस्ट इन्फोस्टीलर को ब्रॉल अर्थ, वाइल्डवर्ल्ड, डॉनलैंड, डिस्ट्रक्शन, इवोलियन, पर्ल, ओलम्प ऑफ रेप्टाइल्स और सेंटलीजेंड जैसे नामों के साथ नकली ब्लॉकचेन गेम को बढ़ावा देने वाली दुर्भावनापूर्ण वेबसाइटों का उपयोग करके वितरित किया जाता है। ऐसा प्रतीत होता है कि इस अभियान का संबंध पूर्व सूचना-चोरीकर्ता पर्ललैंड से है। नकली ब्लॉकचेन गेम का प्रत्येक संस्करण संबद्ध ट्विटर और डिस्कॉर्ड खातों के साथ, अपनी वेबसाइट पर होस्ट किया गया है। जैसा कि iamdeadlyz द्वारा रिपोर्ट किया गया है, धमकी देने वाले अभिनेताओं को सोशल मीडिया पर सीधे संदेशों के माध्यम से संभावित पीड़ितों को निशाना बनाते हुए देखा गया है।
वास्तविक वेरिएंट का विस्तृत विश्लेषण
व्यवहारिक रूप से, रियलस्ट नमूने सभी वेरिएंट में काफी समान दिखते हैं और अन्य macOS इन्फोस्टीलर्स के समान ही इसका पता लगाया जा सकता है। हालाँकि वे कभी-कभी अलग-अलग एपीआई कॉल का उपयोग करते हैं और टेलीमेट्री परिप्रेक्ष्य से कुछ प्रकार की निर्भरता रखते हैं, इन सभी इन्फोस्टीलर्स की कुंजी ब्राउज़र डेटा, क्रिप्टो वॉलेट और किचेन डेटाबेस तक पहुंच और घुसपैठ है। लक्षित ब्राउज़रों में फ़ायरफ़ॉक्स, क्रोम, ओपेरा, ब्रेव और विवाल्डी शामिल हैं। किसी भी विश्लेषित उदाहरण में सफ़ारी लक्ष्य नहीं थी। इसके अलावा, यह पाया गया कि मैलवेयर टेलीग्राम एप्लिकेशन को भी निशाना बनाता है।
सेंटिनललैब्स विश्लेषण ने 16 नमूनों में 59 वेरिएंट की पहचान की, जिन्हें चार प्रमुख परिवारों में बांटा गया था: ए, बी, सी और डी। ऐसे कई ओवरलैप हैं जो विभाजन रेखाओं को अलग तरीके से खींचने की अनुमति देंगे। सुरक्षा शोधकर्ताओं ने स्ट्रिंग कलाकृतियों के आधार पर निम्नलिखित वर्गीकरण तय किया है, जो खतरे के शिकारियों को बेहतर ढंग से पहचानने और पता लगाने में मदद करने के लिए डिज़ाइन किया गया है:
रियलस्ट वेरिएंट फैमिली ए
विश्लेषण किए गए 59 मैक-ओ नमूनों में से 26 वेरिएंट ए में आते हैं। इस वेरिएंट में कई सबवेरिएंट हैं, लेकिन वे सभी एक सामान्य विशेषता साझा करते हैं जो वेरिएंट बी, सी और डी में नहीं पाई जाती है: ऐप्पलस्क्रिप्ट स्पूफिंग से संबंधित संपूर्ण स्ट्रिंग्स का समावेश। . फ़ैमिली A वेरिएंट AppleScript स्पूफ़िंग का उसी तरह उपयोग करता है जैसे पिछले macOS चोरी में देखा गया था।
सबसे वास्तविक वैरिएंट परिवार बी
बी परिवार वेरिएंट भी पासवर्ड स्पूफिंग से संबंधित स्थिर कलाकृतियों को प्रदर्शित करते हैं, लेकिन ये नमूने सरल स्थैतिक पहचान को बायपास करने के लिए स्ट्रिंग को छोटी इकाइयों में तोड़ने में उत्कृष्टता प्राप्त करते हैं। यह पाया गया कि 10 में से 59 नमूने इस श्रेणी में आते हैं।
सबसे वास्तविक वैरिएंट परिवार सी
फ़ैमिली C भी वैरिएंट B की तरह ही स्ट्रिंग्स को तोड़कर AppleScript स्पूफिंग स्ट्रिंग्स को छिपाने की कोशिश करता है। हालाँकि, वैरिएंट C इस मायने में भिन्न है कि यह मैक-ओ बाइनरी में ही चेनब्रेकर का संदर्भ प्रस्तुत करता है। 7 नमूनों में से 59 इस श्रेणी में आते हैं।
सबसे वास्तविक वैरिएंट परिवार डी
परिवार डी में, जिसमें 16 नमूने शामिल हैं, ओसस्क्रिप्ट स्पूफिंग के लिए कोई स्थिर कलाकृतियाँ नहीं हैं। पासवर्ड को "get_keys_with_access" फ़ंक्शन का उपयोग करके टर्मिनल विंडो में एक संकेत द्वारा पढ़ा जाता है। एक बार पासवर्ड कैप्चर हो जाने पर, इसे तुरंत sym.realst::utils::get_kc_keys को भेज दिया जाता है, जो फिर किचेन से पासवर्ड पुनर्प्राप्त करने का प्रयास करता है।
कंपनियों के लिए प्रभावी सुरक्षात्मक उपाय
Realst macOS Infostealer के सभी ज्ञात वेरिएंट का पता सेंटिनलवन एजेंट द्वारा लगाया जाता है और यदि प्रीवेंट साइट नीति सक्षम है तो उसे चलने से रोका जाता है। ऐसा प्रतीत होता है कि Apple की मैलवेयर अवरोधक सेवा "XProtect" लेखन के समय इस मैलवेयर को चलने से रोकती नहीं है। सेंटिनलवन द्वारा संरक्षित नहीं किए गए संगठन खतरे की तलाश और पता लगाने में सहायता के लिए संकेतकों की व्यापक सूची का लाभ उठा सकते हैं।
वर्तमान ख़तरे की स्थिति
वास्तविक नमूना गणना और विविधताओं से संकेत मिलता है कि खतरे वाले अभिनेता ने डेटा और क्रिप्टोकरेंसी चोरी के लिए macOS उपयोगकर्ताओं को लक्षित करने के लिए गंभीर प्रयास किए हैं। वास्तविक उत्पादों का भ्रम देने और उपयोगकर्ताओं को उन्हें आज़माने के लिए लुभाने के लिए डिस्कॉर्ड सर्वर और संबंधित ट्विटर खातों के साथ कई नकली गेम साइटें बनाई गई हैं। एक बार जब पीड़ित इन नकली गेम को लॉन्च करता है और "इंस्टॉलर" को पासवर्ड प्रदान करता है, तो उनका डेटा, पासवर्ड और क्रिप्टो वॉलेट चोरी हो जाते हैं। ब्लॉकचेन गेम्स में वर्तमान रुचि को देखते हुए, जो उपयोगकर्ताओं को खेलते समय पैसे कमाने का वादा करते हैं, उपयोगकर्ताओं और सुरक्षा टीमों से ऐसे गेम डाउनलोड करने और चलाने के लिए कहे जाने पर अत्यधिक सावधानी बरतने का आग्रह किया जाता है।
SentinelOne.com पर अधिक
SentinelOne के बारे में
SentinelOne एकल एजेंट के माध्यम से स्वायत्त समापन बिंदु सुरक्षा प्रदान करता है जो सभी प्रमुख वैक्टरों में हमलों को सफलतापूर्वक रोकता है, उनका पता लगाता है और उनका जवाब देता है। उपयोग करने में बेहद आसान होने के लिए डिज़ाइन किया गया, सिंगुलैरिटी प्लेटफ़ॉर्म ऑन-प्रिमाइसेस और क्लाउड वातावरण दोनों के लिए वास्तविक समय में खतरों को स्वचालित रूप से दूर करने के लिए AI का उपयोग करके ग्राहकों का समय बचाता है।
विषय से संबंधित लेख