Zloděj Cthulhu
Výzkumníci v oblasti kybernetické bezpečnosti identifikovali nový malware kradoucí informace speciálně navržený tak, aby cílil na systémy Apple macOS, a zdůraznili rostoucí trend, kdy se aktéři hrozeb zaměřují více na tento operační systém. Malware s názvem Cthulhu Stealer je od konce roku 2023 nabízen jako součást balíčku Malware-as-a-Service (MaaS) za cenu 500 $ měsíčně. Je schopen útočit na architekturu x86_64 i architekturu Arm.
Cthulhu Stealer je distribuován jako obraz disku Apple (DMG) obsahující dva binární soubory přizpůsobené pro různé architektury. Malware, napsaný v Golangu, se vydává za legitimní software. Mezi softwarové programy, které napodobuje, patří CleanMyMac, Grand Theft Auto IV a Adobe GenP, přičemž poslední jmenovaný je open-source nástroj používaný k obcházení aktivačního procesu Adobe Creative Cloud.
Obsah
Cthulhu Stealer shromažďuje citlivá data a přihlašovací údaje
Uživatelé, kteří se rozhodnou spustit nepodepsaný soubor – po ručním vynechání ochrany Gatekeeper – jsou vyzváni k zadání systémového hesla. Tato technika, založená na skriptu, byla také využita jiným malwarem jako Atomic Stealer, Cuckoo , MacStealer a Banshee Stealer .
Poté jsou uživatelé požádáni o zadání hesla MetaMask. Cthulhu Stealer je dále vybaven pro sběr systémových informací a extrahování hesel iCloud Keychain pomocí open-source nástroje zvaného Chainbreaker.
Shromážděná data, která zahrnují soubory cookie webového prohlížeče a informace o účtu Telegram, jsou poté komprimována do archivu ZIP a odeslána na server Command-and-Control (C2) k exfiltraci.
Analýza schopností zloděje Cthulhu
Primární funkcí Cthulhu Stealer je sklízet přihlašovací údaje a kryptoměnové peněženky z různých zdrojů, včetně herních účtů. Jeho vlastnosti se velmi podobají vlastnostem Atomic Stealer, což naznačuje, že vývojář Cthulhu Stealer mohl upravit kód Atomic Stealer. Oba používají osascript k tomu, aby uživatele vyzval k zadání hesla, a to i se stejnými pravopisnými chybami.
Skupina, která stojí za tímto malwarem, již údajně není aktivní, částečně kvůli sporům o platby, což vedlo k obvinění ze strany přidružených společností z podvodu při odchodu. To vedlo k tomu, že hlavnímu vývojáři byl trvale zakázán přístup na trh s kybernetickou kriminalitou, kde byl zloděj inzerován.
Cthulhu Stealer není nijak zvlášť sofistikovaný, postrádá pokročilé antianalytické techniky, které by mu umožnily pracovat nenápadně. Navíc nemá žádné výrazné schopnosti, které by jej odlišovaly od jiných podobných nástrojů na podzemním trhu.
Apple zavádí další kroky k prevenci malwaru
Přestože macOS čelí méně hrozbám ve srovnání s Windows a Linuxem, uživatelé by měli být stále opatrní. Je důležité stahovat software pouze z renomovaných zdrojů, vyhýbat se instalaci neověřených aplikací a udržovat systémy aktualizované pomocí nejnovějších bezpečnostních záplat.
Apple uznal nárůst malwaru macOS a začátkem tohoto měsíce oznámil aktualizaci pro svou nadcházející verzi operačního systému Sequoia. Tato aktualizace zavádí přísnější opatření pro otevírání softwaru, který není řádně podepsán nebo notářsky ověřen.
V macOS Sequoia již uživatelé nebudou moci obejít Gatekeeper pro neověřený software stisknutím klávesy Ctrl a kliknutí. Místo toho budou muset přejít do Nastavení systému > Soukromí a zabezpečení a zkontrolovat a schválit informace o zabezpečení takových aplikací před jejich spuštěním.
