Un malware per Mac ruba i dati del browser e le risorse di criptovaluta - anche in futuro
Un ricercatore di sicurezza scopre un nuovo malware su Internet. Prende di mira i dati personali e gli asset crittografici ed è pronto per il futuro. Si dice che funzioni anche su macOS 14 "Sonoma". Tuttavia, il sistema operativo non sarà rilasciato prima di ottobre.
Un ricercatore di sicurezza che si fa chiamare "iamdeadlyz" ha scoperto un nuovo malware. Lo ha battezzato "Realst". Attualmente viene utilizzato molto attivamente sui Mac. È interessante notare che l'ultima variante del virus è già operativa su macOS 14 "Sonoma". Questo nonostante il fatto che il sistema operativo non verrà rilasciato prima dell'autunno.
Il malware trova la sua strada in macOS 14 "Sonoma".
Il malware entra nel tuo computer attraverso falsi giochi blockchain. I giochi sono attivamente pubblicizzati su vari siti web, piattaforme di social media e su Discord. Alcuni di essi sono già noti con il loro nome:
- Brawl Earth WildWorld
- Dawnland
- Distruzione
- Evolion
- Pearl
- Olimpo dei Rettili
- SaintLegend
Gli interessati riceveranno un codice di accesso tramite messaggio personale. Questo codice è necessario per scaricare i presunti giochi dai siti web dei "produttori". A volte si afferma anche che si cercano beta tester. Nonostante questa strategia un po' maldestra, gli autori sembrano riscuotere un successo sempre maggiore.
I pacchetti di installazione non contengono però giochi, ma il relativo malware. Nello specifico, si tratta di un file ".pkg" o ".dmg". Questi contengono a loro volta due file con i nomi "game.py" e "installer.py".
Fonte: SentinelOne
"game.py" è un ruba-fuoco di Firefox, "installer.py" è un cosiddetto "chainbreaker". Il nome del ruba-fuoriuscita di Firefox dice tutto. Supera la crittografia del browser Mozilla e accede a tutte le password memorizzate, ai numeri di carta di credito e ad altri dati. Chainbreaker è un programma di estrazione in grado di leggere il portachiavi di macOS. Le password, le chiavi e persino i certificati possono essere utilizzati in questo modo.
Se i file sono dotati di certificati, il sistema operativo li classifica come affidabili. Come hanno scoperto gli esperti, questo è accaduto più volte in passato. Sono state utilizzate persino le firme degli ID degli sviluppatori Apple. Da allora sono stati disattivati.
"Realst" appare in varie forme
Come ha scoperto SentinelOne, esistono 16 varianti di "Realst", strutturate in modo diverso. Anche la procedura è diversa. Quello che hanno in comune, però, è il loro obiettivo: trafugare i dati dai browser (Firefox, Chrome, Opera, Brave e Vivaldi), dall'app desktop Telegram e da vari portafogli di criptovalute.
Si consiglia quindi di fare attenzione quando si scaricano giochi blockchain. Se l'incidente si è già verificato, è utile resettare il dispositivo. Anche le password salvate e altri dati sensibili dovrebbero essere cambiati il prima possibile.
Immagine di copertina:Shutterstock
Da quando ho scoperto come attivare entrambi i canali telefonici sulla scheda ISDN per ottenere una maggiore larghezza di banda, sperimento con le reti digitali. Con quelle analogiche, invece, da quando so parlare. A Winterthur per scelta, con il cuore rossoblu.