Cthulhu Stealer
Изследователите в областта на киберсигурността са идентифицирали нов зловреден софтуер за кражба на информация, специално предназначен за насочване към системите Apple macOS, подчертавайки нарастваща тенденция, при която заплахите се фокусират повече върху тази операционна система. Наречен Cthulhu Stealer, зловреден софтуер се предлага като част от пакет Malware-as-a-Service (MaaS) от края на 2023 г. на цена от $500 на месец. Способен е да атакува както x86_64, така и Arm архитектурите.
Cthulhu Stealer се разпространява като образ на диск на Apple (DMG), съдържащ два двоични файла, пригодени за различни архитектури. Написан на Golang, зловреден софтуер се маскира като легитимен софтуер. Сред софтуерните програми, които имитира, са CleanMyMac, Grand Theft Auto IV и Adobe GenP, като последната е инструмент с отворен код, използван за заобикаляне на процеса на активиране на Adobe Creative Cloud.
Съдържание
Крадецът Cthulhu събира чувствителни данни и идентификационни данни
Потребителите, които изберат да стартират неподписания файл - след ръчно заобикаляне на защитата на Gatekeeper - получават подкана да въведат системната си парола. Тази техника, базирана на скрипт, е била използвана и от друг зловреден софтуер като Atomic Stealer, Cuckoo , MacStealer и Banshee Stealer .
След това потребителите трябва да въведат своята парола за MetaMask. Cthulhu Stealer е допълнително оборудван за събиране на системна информация и извличане на пароли за iCloud Keychain с помощта на инструмент с отворен код, наречен Chainbreaker.
Събраните данни, които включват бисквитки на уеб браузъра и информация за акаунта в Telegram, след това се компресират в ZIP архив и се изпращат до Command-and-Control (C2) сървър за ексфилтрация.
Анализ на способностите на Ктулху крадец
Основната функция на Cthulhu Stealer е да събира идентификационни данни и портфейли с криптовалута от различни източници, включително акаунти в игри. Характеристиките му много наподобяват тези на Atomic Stealer, което предполага, че разработчикът на Cthulhu Stealer може да е променил кода на Atomic Stealer. И двете използват osascript, за да подканят потребителите за техните пароли, като дори споделят едни и същи правописни грешки.
Съобщава се, че групата зад този зловреден софтуер вече не е активна, отчасти поради спорове относно плащания, водещи до обвинения в измама за излизане от филиали. Това доведе до забрана на основния разработчик за постоянно от пазара за киберпрестъпления, където беше рекламиран крадецът.
Cthulhu Stealer не е особено сложен, липсват му усъвършенствани техники за антианализ, които биха му позволили да работи скрито. Освен това, той няма никакви отличителни способности, които да го отличават от други подобни инструменти на подземния пазар.
Apple въвежда допълнителни стъпки за предотвратяване на зловреден софтуер
Въпреки че macOS е изправен пред по-малко заплахи в сравнение с Windows и Linux, потребителите трябва да бъдат предпазливи. Изключително важно е да изтегляте софтуер само от надеждни източници, да избягвате инсталирането на непроверени приложения и да поддържате системите актуализирани с най-новите корекции за сигурност.
Apple призна нарастването на зловреден софтуер за macOS и по-рано този месец обяви актуализация за предстоящата си версия на операционната система, Sequoia. Тази актуализация въвежда по-строги мерки за отваряне на софтуер, който не е правилно подписан или нотариално заверен.
В macOS Sequoia потребителите вече няма да могат да щракнат с Control, за да заобиколят Gatekeeper за непроверен софтуер. Вместо това те ще трябва да навигират до Системни настройки > Поверителност и сигурност, за да прегледат и одобрят информацията за сигурност за такива приложения, преди да ги пуснат.
