Cthulhu Stealer
Cybersikkerhedsforskere har identificeret en ny informationsstjælende malware, der er specielt designet til at målrette Apple macOS-systemer, hvilket fremhæver en voksende tendens, hvor trusselsaktører fokuserer mere på dette operativsystem. Med navnet Cthulhu Stealer er malwaren blevet tilbudt som en del af en Malware-as-a-Service (MaaS)-pakke siden slutningen af 2023, til en pris af $500 pr. måned. Den er i stand til at angribe både x86_64 og Arm-arkitekturer.
Cthulhu Stealer distribueres som et Apple-diskbillede (DMG) indeholdende to binære filer, der er skræddersyet til forskellige arkitekturer. Skrevet i Golang giver malwaren sig ud som legitim software. Blandt de softwareprogrammer, den efterligner, er CleanMyMac, Grand Theft Auto IV og Adobe GenP, hvor sidstnævnte er et open source-værktøj, der bruges til at omgå Adobe Creative Clouds aktiveringsproces.
Indholdsfortegnelse
Cthulhu Stealer indsamler følsomme data og legitimationsoplysninger
Brugere, der vælger at starte den usignerede fil – efter manuel omgåelse af Gatekeeper-beskyttelse – bliver bedt om at indtaste deres systemadgangskode. Denne teknik, baseret på et script, er også blevet brugt af anden malware som Atomic Stealer, Cuckoo , MacStealer og Banshee Stealer .
Herefter bliver brugerne bedt om at indtaste deres MetaMask-adgangskode. Cthulhu Stealer er yderligere udstyret til at indsamle systemoplysninger og udtrække iCloud Keychain-adgangskoder ved hjælp af et open source-værktøj kaldet Chainbreaker.
De indsamlede data, som inkluderer webbrowsercookies og Telegram-kontooplysninger, komprimeres derefter til et ZIP-arkiv og sendes til en Command-and-Control-server (C2) til eksfiltrering.
En analyse af Cthulhu Stealers evner
Den primære funktion af Cthulhu Stealer er at høste legitimationsoplysninger og cryptocurrency-punge fra forskellige kilder, inklusive spilkonti. Dens funktioner minder meget om Atomic Stealers, hvilket tyder på, at udvikleren af Cthulhu Stealer kan have ændret Atomic Stealers kode. Begge bruger osascript til at bede brugerne om deres adgangskoder, og de deler endda de samme stavefejl.
Gruppen bag denne malware er angiveligt ikke længere aktiv, delvist på grund af tvister om betalinger, hvilket fører til anklager om en exit-svindel fra tilknyttede selskaber. Dette resulterede i, at hovedudvikleren blev permanent udelukket fra cyberkriminalitetsmarkedspladsen, hvor stjæleren blev annonceret.
Cthulhu Stealer er ikke særlig sofistikeret og mangler avancerede anti-analyseteknikker, der ville gøre det muligt for den at fungere snigende. Derudover har den ikke nogen karakteristiske egenskaber, der adskiller den fra andre lignende værktøjer på undergrundsmarkedet.
Apple implementerer yderligere trin for at forhindre malware
Selvom macOS står over for færre trusler sammenlignet med Windows og Linux, bør brugerne stadig være forsigtige. Det er afgørende kun at downloade software fra velrenommerede kilder, undgå at installere ubekræftede applikationer og holde systemerne opdaterede med de nyeste sikkerhedsrettelser.
Apple har anerkendt stigningen i macOS-malware og annoncerede tidligere på måneden en opdatering til sin kommende version af operativsystemet, Sequoia. Denne opdatering introducerer strengere foranstaltninger til at åbne software, der ikke er korrekt signeret eller notariseret.
I macOS Sequoia vil brugere ikke længere være i stand til at kontrollere og klikke for at omgå Gatekeeper for ubekræftet software. I stedet skal de navigere til Systemindstillinger > Privatliv og sikkerhed for at gennemgå og godkende sikkerhedsoplysninger for sådanne applikationer, før de kører dem.
