دزد Cthulhu

محققان امنیت سایبری بدافزار سرقت اطلاعات جدیدی را شناسایی کرده اند که به طور خاص برای هدف قرار دادن سیستم های MacOS اپل طراحی شده است و روند رو به رشدی را برجسته می کند که در آن عوامل تهدید بیشتر بر روی این سیستم عامل تمرکز می کنند. این بدافزار که Cthulhu Stealer نام دارد، به عنوان بخشی از بسته بدافزار به عنوان یک سرویس (MaaS) از اواخر سال 2023 با قیمت 500 دلار در ماه ارائه شده است. این می تواند هر دو معماری x86_64 و Arm را مورد حمله قرار دهد.

Cthulhu Stealer به عنوان یک تصویر دیسک اپل (DMG) حاوی دو باینری طراحی شده برای معماری های مختلف توزیع شده است. این بدافزار که در Golang نوشته شده، به عنوان یک نرم افزار قانونی ظاهر می شود. از جمله برنامه‌های نرم‌افزاری که از آن تقلید می‌کند، می‌توان به CleanMyMac، Grand Theft Auto IV و Adobe GenP اشاره کرد که دومی یک ابزار منبع باز است که برای دور زدن فرآیند فعال‌سازی Adobe Creative Cloud استفاده می‌شود.

دزد Cthulhu داده های حساس و اعتبار جمع آوری می کند

از کاربرانی که انتخاب می‌کنند فایل بدون امضا را راه‌اندازی کنند - پس از دور زدن دستی حفاظت‌های Gatekeeper - از آنها خواسته می‌شود رمز عبور سیستم خود را وارد کنند. این تکنیک، بر اساس یک اسکریپت، توسط بدافزارهای دیگری مانند Atomic Stealer، Cuckoo ، MacStealer و Banshee Stealer نیز استفاده شده است.

در ادامه از کاربران خواسته می شود تا رمز عبور متامسک خود را وارد کنند. Cthulhu Stealer برای جمع آوری اطلاعات سیستم و استخراج رمزهای عبور iCloud Keychain با استفاده از ابزار منبع باز به نام Chainbreaker مجهز است.

داده‌های جمع‌آوری‌شده، که شامل کوکی‌های مرورگر وب و اطلاعات حساب تلگرام می‌شود، سپس در یک آرشیو ZIP فشرده شده و برای استخراج به یک سرور Command-and-Control (C2) ارسال می‌شود.

تحلیلی از قابلیت‌های دزد Cthulhu

عملکرد اصلی Cthulhu Stealer جمع آوری اعتبار و کیف پول های رمزنگاری شده از منابع مختلف از جمله حساب های بازی است. ویژگی‌های آن بسیار شبیه ویژگی‌های Atomic Stealer است که نشان می‌دهد توسعه‌دهنده Cthulhu Stealer ممکن است کد Atomic Stealer را تغییر داده باشد. هر دو از osascript برای درخواست رمز عبور از کاربران استفاده می کنند، حتی اشتباهات املایی یکسانی را به اشتراک می گذارند.

گروهی که در پشت این بدافزار قرار دارد، ظاهراً دیگر فعال نیست، تا حدی به دلیل اختلاف بر سر پرداخت‌ها، که منجر به اتهام کلاهبرداری خروج از سوی شرکت‌های وابسته شده است. این باعث شد که توسعه دهنده اصلی برای همیشه از بازار جرایم سایبری که در آن دزد تبلیغ شده بود، محروم شود.

Cthulhu Stealer به خصوص پیچیده نیست، فاقد تکنیک های پیشرفته ضد تجزیه و تحلیل است که به آن اجازه می دهد مخفیانه کار کند. علاوه بر این، هیچ قابلیت متمایزی که آن را از سایر ابزارهای مشابه در بازار زیرزمینی متمایز کند، ندارد.

اپل در حال اجرای گام های اضافی برای جلوگیری از بدافزار است

اگرچه macOS در مقایسه با ویندوز و لینوکس با تهدیدات کمتری مواجه است، کاربران همچنان باید محتاط باشند. بسیار مهم است که نرم افزار را فقط از منابع معتبر دانلود کنید، از نصب برنامه های تایید نشده خودداری کنید و سیستم ها را با آخرین وصله های امنیتی به روز نگه دارید.

اپل به افزایش بدافزار macOS اذعان کرده است و در اوایل این ماه، به‌روزرسانی نسخه سیستم عامل آینده خود، Sequoia را اعلام کرد. این به‌روزرسانی تدابیر سخت‌گیرانه‌تری را برای باز کردن نرم‌افزارهایی که به‌درستی امضا یا محضری ندارند، معرفی می‌کند.

در macOS Sequoia، کاربران دیگر نمی‌توانند برای دور زدن Gatekeeper برای نرم‌افزار تأیید نشده، Control-click کنند. در عوض، آنها باید به تنظیمات سیستم > حریم خصوصی و امنیت بروید تا اطلاعات امنیتی چنین برنامه‌هایی را قبل از اجرای آنها بررسی و تأیید کنند.