Cthulhu varastaja
Küberjulgeoleku uurijad on tuvastanud uue teavet varastava pahavara, mis on spetsiaalselt loodud Apple'i macOS-süsteemide sihikule, rõhutades kasvavat trendi, kus ohus osalejad keskenduvad rohkem sellele operatsioonisüsteemile. Cthulhu Stealeri nime kandvat pahavara on alates 2023. aasta lõpust pakutud osana paketi Malware-as-a-Service (MaaS) osana hinnaga 500 dollarit kuus. See on võimeline ründama nii x86_64 kui ka Arm arhitektuuri.
Cthulhu Stealer levitatakse Apple'i kettapildina (DMG), mis sisaldab kahte kahendfaili, mis on kohandatud erinevate arhitektuuride jaoks. Golangis kirjutatud pahavara maskeerub seaduslikuks tarkvaraks. Selle jäljendatavate tarkvaraprogrammide hulgas on CleanMyMac, Grand Theft Auto IV ja Adobe GenP, viimane on avatud lähtekoodiga tööriist, mida kasutatakse Adobe Creative Cloudi aktiveerimisprotsessist möödahiilimiseks.
Sisukord
Cthulhu Stealer kogub tundlikke andmeid ja mandaate
Kasutajatel, kes otsustavad käivitada allkirjastamata faili – pärast seda, kui nad on Gatekeeperi kaitsetest käsitsi mööda läinud –, palutakse neil sisestada oma süsteemi parool. Seda skriptil põhinevat tehnikat on kasutanud ka muu pahavara, nagu Atomic Stealer, Cuckoo , MacStealer ja Banshee Stealer .
Pärast seda palutakse kasutajatel sisestada oma MetaMaski parool. Cthulhu Stealer on lisaks varustatud süsteemiteabe kogumiseks ja iCloud Keychaini paroolide eraldamiseks, kasutades avatud lähtekoodiga tööriista Chainbreaker.
Kogutud andmed, mis hõlmavad veebibrauseri küpsiseid ja Telegrami kontoteavet, tihendatakse seejärel ZIP-arhiivi ja saadetakse väljafiltreerimiseks käsu-ja juhtimisserverisse (C2).
Cthulhu Stealeri võimaluste analüüs
Cthulhu Stealeri põhiülesanne on koguda volikirjad ja krüptovaluuta rahakotid erinevatest allikatest, sealhulgas mängukontodelt. Selle funktsioonid on väga sarnased Atomic Stealeri omadega, mis viitab sellele, et Cthulhu Stealeri arendaja võis Atomic Stealeri koodi muuta. Mõlemad kasutavad osascripti, et küsida kasutajatelt paroolid, isegi jagades samu õigekirjavigu.
Väidetavalt pole selle pahavara taga olev rühmitus enam aktiivne, osaliselt maksevaidluste tõttu, mille tulemuseks on tütarettevõtete süüdistused väljumiskelmuses. Selle tulemusel keelati peamine arendaja küberkuritegevuse turul, kus varastajat reklaamiti, jäädavalt.
Cthulhu Stealer pole eriti keerukas, sellel puuduvad täiustatud analüüsivastased tehnikad, mis võimaldaksid tal varjatult töötada. Lisaks ei ole sellel eristavaid omadusi, mis eristaksid seda teistest maa-aluse turu sarnastest tööriistadest.
Apple rakendab täiendavaid samme pahavara ennetamiseks
Kuigi MacOS-il on Windowsi ja Linuxiga võrreldes vähem ohte, peaksid kasutajad siiski olema ettevaatlikud. Väga oluline on laadida tarkvara alla ainult usaldusväärsetest allikatest, vältida kontrollimata rakenduste installimist ja hoida süsteeme värskeimate turvapaikadega ajakohasena.
Apple on tunnistanud macOS-i pahavara kasvu ja selle kuu alguses teatas oma tulevase operatsioonisüsteemi versiooni Sequoia värskendusest. See värskendus sisaldab rangemaid meetmeid korralikult allkirjastamata või notariaalselt kinnitamata tarkvara avamiseks.
MacOS Sequoias ei saa kasutajad enam kontrollimata tarkvara puhul Gatekeeperist mööda hiilimiseks Control-klõpsuga. Selle asemel peavad nad navigeerima jaotisesse Süsteemi sätted > Privaatsus ja turvalisus, et vaadata üle ja kinnitada selliste rakenduste turvateave enne nende käivitamist.
