ビデオゲームに擬態するRealstと呼ばれるMacスティーラマルウェアはmacOS Sonomaにも対応

 みなさん、こんにちは！

本日２通目ですね、スミマセン！
Intego の新しいイメージキャラクタ "KEIJIくん" です！
どうぞよろしくお願い申し上げます。





ビデオゲームに擬態するRealstと呼ばれるMacスティーラマルウェアはmacOS Sonomaにも対応（この記事は、2023年8月4日にJoshua Long（https://www.intego.com/mac-security-blog/author/joshlong/）によってMac Security Blogに投稿されたMac stealer malware Realst disguises itself as video games, is macOS Sonoma-readyの翻訳です）

 

７月初旬にマルウェア研究者、iamdeadlyz が Realst Stealer と呼ばれる Mac を狙う新しいマルウェアについて詳細な報告を発表しました。
iamdeadlyz は、少なくとも昨年から RedLine Stealer、PureLand、そして暗号通貨を盗む関連するマルウェアについて調査してきました。

その過程で、何人かがいくつかの偽のビデオゲームについて iamdeadlyz に報告しています。こうした偽ゲームは、それぞれ独自の Twitter および YouTube アカウント、Discord サーバ、ブログなどを持つため一見公式のように見えるのです。しかし、こうしたゲームだと思われていたプログラムがトロイの木馬マルウェアであることがわかったのです。また、同じマルウェアグループが最新の偽ゲームを開発しているようにも見受けられます。

そんなゲームのすべてではありませんが、いくつかは、さまざまなブロックチェーンを採用しているか、NFT（非代替トークン）ゲームだと説明されています。ビックリです！
ブロックチェーン（ https://ja.wikipedia.org/wiki/%E3%83%96%E3%83%AD%E3%83%83%E3%82%AF%E3%83%81%E3%82%A7%E3%83%BC%E3%83%B3 ）および非代替トークン（ https://ja.wikipedia.org/wiki/%E9%9D%9E%E4%BB%A3%E6%9B%BF%E6%80%A7%E3%83%88%E3%83%BC%E3%82%AF%E3%83%B3 ）は、特に暗号通貨を所有する人たちが興味を持つ技術です。つまり、こうした偽ゲームの開発者は暗号通貨ウォレットを持つ人たちを標的にしているのです。

Realst Stealerマルウェアは何をするか

Realst Stealer の主な目的は、感染した Mac で暗号通貨ウォレットを盗むことだと考えられています。Realst は、少なくとも10の異なる暗号通貨ウォレットのブラウザ機能拡張を標的にしています。

しかし被害者がブロックチェーンやNFTに関心のない人の場合、このトロイの木馬マルウェアは macOS のキーチェーンを抜き出そうと試みます。
またユーザが Mac に Telegram（ https://www.intego.com/mac-security-blog/6-secure-messaging-app-options-for-mac-and-ios/ ）メッセージアプリをインストールしていると、そのデータも標的にします。

Realst Stealer は、Apple の Safari と Microsoft の Edge という２つの例外を除き、すべての主な Mac 用ブラウザ（ https://www.intego.com/mac-security-blog/safari-chrome-firefox-which-is-the-most-private-browser-for-mac/ ）を標的にしています。Safariが対象にないのは開発者が Windows マルウェアの開発の方が得意なんだろうと考えれば納得できますが、Windows に付いていて Realst が狙う他のブラウザ同様に Chromium を採用する Edge が対象にない理由は定かではありません。

このマルウェアは、Google Chrome、Mozilla Firefox、Brave、Opera、Opera GX（いわゆるゲームブラウザ）、そして Vivaldi を標的にしています。

 Realst Stealer が擬態するゲーム

分かっている主なトロイの木馬ゲームの名称は次のとおり:

・Brawl Earth（そのTwitterユーザ名はbrawlearth）

・Dawn Land MetaWorld（あるいはDawnLand Meta World、Dawn Land Metaverse、DawnMetaWorld、Meta_Dawn、またはVersePearl）

・Destruction（あるいはMetaDestruction、DestructionNFT、またはDestructionWeb3）

・Evolion（あるいはEvolionGameまたはEvolionLand）

・Guardians of the Throne（そのTwitterユーザ名はGuardiansMeta）— 同じ名称のAndroidゲーム（ https://play.google.com/store/apps/details?id=com.elight.got.gp&hl=ja_jp ）とは違うものです。

・Olymp of Reptiles [原文ママ] （そのTwitterユーザ名はolympreptiles）

・Pearl Land Metaverse（Twitterでは VersePearlでした）

・RyzeX（そのTwitterユーザ名はRyzeX_web3）

・Saint Legend（TwitterではPlaySaintLegendでした）

・WILDWORLD（そのTwitterユーザ名はWildmenWorld）

驚くべきことに、こうしたトロイの木馬ゲームのいくつかは今も Twitter/X のアカウントが削除されたり停止されていません。
“brawlearth”アカウントは、そのプロフィール画像、名前、バイオ、そしてロケーションは除去されていますが、それ以外のGuardiansMeta、olympreptiles、RyzeX_web3、そしてWildmenWorldの４つのアカウントは、3月、4月、6月から使用されていないもののオープンのままです。

 サンプルによってはmacOS Sonomaに対応

Macマルウェア研究者、Phil Stokes氏は、Realst Stealerの最新の調査でいくつかのサンプルのコードにAppleのMac用次期オペレーティングシステムであるmacOS Sonomaが出てくると書いています（ https://www.sentinelone.com/blog/apple-crimeware-massive-rust-infostealer-campaign-aiming-for-macos-sonoma-ahead-of-public-release/ ）。

これはRealst Stealerの開発者がAppleの新しいOSが華々しく登場した初日には対応しているように、今からSonomaのベータ版で試験していることを示唆します。

 Realst StealerのようなマルウェアからMacを守り、除去する方法

 

Integoのバンドル製品に含まれているIntego VirusBarrier X9（ https://act2.com/intego ）は、Realst Stealerおよび同種のMacを狙う脅威を検出して除去できます。

 

お使いのMacがマルウェアに感染したと信じる理由があるなら、あるいは今後の感染からMscを守りたいなら、信頼できるMacの開発者が提供するアンチウイルスソフトを導入するべきです。多くの受賞歴を持つVirusBarrierは、Macのセキュリティの専門家によって開発されているリアルタイムスキャン機能を持つアンチウイルスソフトです（ https://www.intego.com/mac-security-blog/why-your-antivirus-needs-real-time-scanning/ ）。Appleシリコンを搭載してmacOS Venturaを実行する最新のMacを含む、多くのMacの機種とオペレーティングシステムのバージョンにネーティブ対応しています。

 

注意: 古いバージョンのMac OS XでIntegoのVirusBarrier X8、X7、あるいはX6シリーズをお使いのユーザもこの脅威から保護されます。しかし、お使いのMacをAppleによる最新のセキュリティアップデートで保護するためにも、可能であれば常に最新のVirusBarrierおよびmacOSをお使いください。

 お使いのMacは安全ですか？

 

Mac用のセキュリティソリューションを検討しているなら、act2.com の次のIntego製品ページで機能や目的に合った製品があるかご確認ください:

https://act2.com/intego

 

May the FORCE be with you!

 

株式会社アクト・ツー
Software Product Team