Cthulhu Stealer
تمكن باحثو الأمن السيبراني من تحديد برنامج ضار جديد لسرقة المعلومات مصمم خصيصًا لاستهداف أنظمة Apple macOS، مما يسلط الضوء على اتجاه متزايد حيث يركز الجهات الفاعلة المهددة بشكل أكبر على نظام التشغيل هذا. تم تقديم البرنامج الضار المسمى Cthulhu Stealer كجزء من حزمة Malware-as-a-Service (MaaS) منذ أواخر عام 2023، بسعر 500 دولار شهريًا. إنه قادر على مهاجمة كل من معماريات x86_64 وArm.
يتم توزيع Cthulhu Stealer كصورة قرص Apple (DMG) تحتوي على ملفين ثنائيين مصممين لبنيات معمارية مختلفة. يتم إخفاء البرامج الضارة المكتوبة بلغة Golang في هيئة برامج شرعية. من بين البرامج التي تحاكيها CleanMyMac وGrand Theft Auto IV وAdobe GenP، وهو الأخير عبارة عن أداة مفتوحة المصدر تستخدم لتجاوز عملية تنشيط Adobe Creative Cloud.
جدول المحتويات
يقوم سارق كاثولهو بجمع البيانات الحساسة وبيانات الاعتماد
يُطلب من المستخدمين الذين يختارون تشغيل الملف غير الموقّع - بعد تجاوز حماية Gatekeeper يدويًا - إدخال كلمة مرور نظامهم. وقد تم استخدام هذه التقنية، التي تعتمد على نص برمجي، بواسطة برامج ضارة أخرى مثل Atomic Stealer و Cuckoo و MacStealer و Banshee Stealer .
بعد ذلك، يُطلب من المستخدمين إدخال كلمة مرور MetaMask الخاصة بهم. كما تم تجهيز Cthulhu Stealer لجمع معلومات النظام واستخراج كلمات مرور iCloud Keychain باستخدام أداة مفتوحة المصدر تسمى Chainbreaker.
يتم بعد ذلك ضغط البيانات المجمعة، والتي تتضمن ملفات تعريف الارتباط الخاصة بمتصفح الويب ومعلومات حساب Telegram، في أرشيف ZIP وإرسالها إلى خادم Command-and-Control (C2) للاستخراج.
تحليل لقدرات سارق كاثولهو
الوظيفة الأساسية لـ Cthulhu Stealer هي جمع بيانات الاعتماد ومحافظ العملات المشفرة من مصادر مختلفة، بما في ذلك حسابات الألعاب. تشبه ميزاته إلى حد كبير ميزات Atomic Stealer، مما يشير إلى أن مطور Cthulhu Stealer ربما قام بتعديل كود Atomic Stealer. يستخدم كلاهما osascript لحث المستخدمين على إدخال كلمات المرور الخاصة بهم، حتى أنهما يشتركان في نفس الأخطاء الإملائية.
يُقال إن المجموعة التي تقف وراء هذا البرنامج الخبيث لم تعد نشطة، ويرجع ذلك جزئيًا إلى النزاعات حول المدفوعات، مما أدى إلى اتهامات بالاحتيال من قبل الشركات التابعة. أدى هذا إلى حظر المطور الرئيسي بشكل دائم من سوق الجرائم الإلكترونية حيث تم الإعلان عن السارق.
لا يتمتع Cthulhu Stealer بتطور خاص، فهو يفتقر إلى تقنيات التحليل المتقدمة التي تسمح له بالعمل بشكل خفي. بالإضافة إلى ذلك، لا يتمتع بأي قدرات مميزة تجعله مختلفًا عن الأدوات المماثلة الأخرى الموجودة في السوق السوداء.
تطبق شركة Apple خطوات إضافية لمنع البرامج الضارة
على الرغم من أن نظام macOS يواجه تهديدات أقل مقارنة بنظامي التشغيل Windows وLinux، إلا أنه يتعين على المستخدمين توخي الحذر. من المهم تنزيل البرامج فقط من مصادر موثوقة، وتجنب تثبيت التطبيقات غير الموثوقة، وتحديث الأنظمة بأحدث تصحيحات الأمان.
أقرت شركة Apple بارتفاع عدد البرامج الضارة التي تعمل بنظام macOS، وأعلنت في وقت سابق من هذا الشهر عن تحديث لإصدار نظام التشغيل القادم Sequoia. يقدم هذا التحديث إجراءات أكثر صرامة لفتح البرامج التي لم يتم توقيعها أو توثيقها بشكل صحيح.
في نظام التشغيل macOS Sequoia، لن يتمكن المستخدمون بعد الآن من النقر مع الضغط على مفتاح Control لتجاوز Gatekeeper للبرامج غير الموثوقة. بدلاً من ذلك، سيحتاجون إلى الانتقال إلى إعدادات النظام > الخصوصية والأمان لمراجعة معلومات الأمان الخاصة بهذه التطبيقات والموافقة عليها قبل تشغيلها.
