Cthulhu Stealer
Οι ερευνητές στον τομέα της κυβερνοασφάλειας εντόπισαν ένα νέο κακόβουλο λογισμικό κλοπής πληροφοριών ειδικά σχεδιασμένο για να στοχεύει συστήματα Apple macOS, υπογραμμίζοντας μια αυξανόμενη τάση όπου οι παράγοντες απειλών εστιάζουν περισσότερο σε αυτό το λειτουργικό σύστημα. Με το όνομα Cthulhu Stealer, το κακόβουλο λογισμικό προσφέρεται ως μέρος ενός πακέτου Malware-as-a-Service (MaaS) από τα τέλη του 2023, με τιμή 500 $ ανά μήνα. Είναι ικανό να επιτεθεί τόσο στην αρχιτεκτονική x86_64 όσο και στην αρχιτεκτονική Arm.
Το Cthulhu Stealer διανέμεται ως εικόνα δίσκου Apple (DMG) που περιέχει δύο δυαδικά αρχεία προσαρμοσμένα για διαφορετικές αρχιτεκτονικές. Γραπτό στα Golang, το κακόβουλο λογισμικό μεταμφιέζεται ως νόμιμο λογισμικό. Μεταξύ των προγραμμάτων λογισμικού που μιμείται είναι το CleanMyMac, το Grand Theft Auto IV και το Adobe GenP, το τελευταίο είναι ένα εργαλείο ανοιχτού κώδικα που χρησιμοποιείται για την παράκαμψη της διαδικασίας ενεργοποίησης του Adobe Creative Cloud.
Πίνακας περιεχομένων
Το Cthulhu Stealer συλλέγει ευαίσθητα δεδομένα και διαπιστευτήρια
Οι χρήστες που επιλέγουν να εκκινήσουν το ανυπόγραφο αρχείο —αφού παρακάμψουν με μη αυτόματο τρόπο τις προστασίες Gatekeeper— καλούνται να εισαγάγουν τον κωδικό πρόσβασης του συστήματός τους. Αυτή η τεχνική, βασισμένη σε σενάριο, έχει επίσης χρησιμοποιηθεί από άλλα κακόβουλα προγράμματα όπως το Atomic Stealer, το Cuckoo , το MacStealer και το Banshee Stealer .
Μετά από αυτό, οι χρήστες καλούνται να εισάγουν τον κωδικό πρόσβασής τους στο MetaMask. Το Cthulhu Stealer είναι επιπλέον εξοπλισμένο για τη συλλογή πληροφοριών συστήματος και την εξαγωγή κωδικών πρόσβασης iCloud Keychain χρησιμοποιώντας ένα εργαλείο ανοιχτού κώδικα που ονομάζεται Chainbreaker.
Τα δεδομένα που συγκεντρώθηκαν, τα οποία περιλαμβάνουν cookie προγράμματος περιήγησης ιστού και πληροφορίες λογαριασμού Telegram, συμπιέζονται στη συνέχεια σε ένα αρχείο ZIP και αποστέλλονται σε διακομιστή Command-and-Control (C2) για εξαγωγή.
Μια ανάλυση των ικανοτήτων του Cthulhu Stealer
Η κύρια λειτουργία του Cthulhu Stealer είναι να συλλέγει διαπιστευτήρια και πορτοφόλια κρυπτονομισμάτων από διάφορες πηγές, συμπεριλαμβανομένων λογαριασμών παιχνιδιών. Τα χαρακτηριστικά του μοιάζουν πολύ με αυτά του Atomic Stealer, υποδηλώνοντας ότι ο προγραμματιστής του Cthulhu Stealer μπορεί να έχει τροποποιήσει τον κώδικα του Atomic Stealer. Και οι δύο χρησιμοποιούν το osascript για να ζητούν από τους χρήστες τους κωδικούς πρόσβασής τους, ακόμη και να μοιράζονται τα ίδια ορθογραφικά λάθη.
Η ομάδα πίσω από αυτό το κακόβουλο λογισμικό φέρεται να μην είναι πλέον ενεργή, εν μέρει λόγω διαφωνιών σχετικά με τις πληρωμές, που οδηγεί σε κατηγορίες για απάτη εξόδου από θυγατρικές εταιρείες. Αυτό είχε ως αποτέλεσμα ο κύριος προγραμματιστής να αποκλειστεί οριστικά από την αγορά εγκλήματος στον κυβερνοχώρο όπου διαφημιζόταν ο κλέφτης.
Το Cthulhu Stealer δεν είναι ιδιαίτερα εξελιγμένο, χωρίς προηγμένες τεχνικές αντι-ανάλυσης που θα του επέτρεπαν να λειτουργεί κρυφά. Επιπρόσθετα, δεν διαθέτει διακριτικές δυνατότητες που να το ξεχωρίζουν από άλλα παρόμοια εργαλεία στην υπόγεια αγορά.
Η Apple εφαρμόζει πρόσθετα βήματα για την πρόληψη κακόβουλου λογισμικού
Αν και το macOS αντιμετωπίζει λιγότερες απειλές σε σύγκριση με τα Windows και το Linux, οι χρήστες θα πρέπει να είναι προσεκτικοί. Είναι σημαντικό να κάνετε λήψη λογισμικού μόνο από αξιόπιστες πηγές, να αποφεύγετε την εγκατάσταση μη επαληθευμένων εφαρμογών και να διατηρείτε τα συστήματα ενημερωμένα με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας.
Η Apple έχει αναγνωρίσει την αύξηση του κακόβουλου λογισμικού macOS και, νωρίτερα αυτό το μήνα, ανακοίνωσε μια ενημέρωση για την επερχόμενη έκδοση του λειτουργικού της συστήματος, Sequoia. Αυτή η ενημέρωση εισάγει αυστηρότερα μέτρα για το άνοιγμα λογισμικού που δεν είναι σωστά υπογεγραμμένο ή συμβολαιογραφικό.
Στο macOS Sequoia, οι χρήστες δεν θα μπορούν πλέον να κάνουν Control-κλικ για να παρακάμψουν το Gatekeeper για μη επαληθευμένο λογισμικό. Αντίθετα, θα πρέπει να μεταβούν στις Ρυθμίσεις συστήματος > Απόρρητο και ασφάλεια για να ελέγξουν και να εγκρίνουν πληροφορίες ασφαλείας για τέτοιες εφαρμογές πριν τις εκτελέσουν.
