Cthulhu Stealer
Kyberturvallisuustutkijat ovat tunnistaneet uuden tietoa varastavan haittaohjelman, joka on suunniteltu erityisesti kohdistettavaksi Applen macOS-järjestelmiin, mikä korostaa kasvavaa trendiä, jossa uhkien toimijat keskittyvät enemmän tähän käyttöjärjestelmään. Cthulhu Stealer -niminen haittaohjelma on tarjottu osana Malware-as-a-Service (MaaS) -pakettia vuoden 2023 lopusta lähtien, ja sen hinta on 500 dollaria kuukaudessa. Se pystyy hyökkäämään sekä x86_64- että Arm-arkkitehtuureihin.
Cthulhu Stealer jaetaan Applen levykuvana (DMG), joka sisältää kaksi eri arkkitehtuureille räätälöityä binaaritiedostoa. Golangilla kirjoitettu haittaohjelma naamioituu lailliseksi ohjelmistoksi. Sen jäljittelemien ohjelmistojen joukossa ovat CleanMyMac, Grand Theft Auto IV ja Adobe GenP, jälkimmäinen on avoimen lähdekoodin työkalu, jota käytetään ohittamaan Adobe Creative Cloudin aktivointiprosessi.
Sisällysluettelo
Cthulhu Stealer kerää arkaluontoisia tietoja ja valtuustietoja
Käyttäjiä, jotka päättävät käynnistää allekirjoittamattoman tiedoston – ohitettuaan Gatekeeperin suojaukset manuaalisesti – kehotetaan syöttämään järjestelmän salasana. Tätä käsikirjoitukseen perustuvaa tekniikkaa ovat käyttäneet myös muut haittaohjelmat, kuten Atomic Stealer, Cuckoo , MacStealer ja Banshee Stealer .
Tämän jälkeen käyttäjiä pyydetään syöttämään MetaMask-salasanansa. Cthulhu Stealer on lisäksi varustettu keräämään järjestelmätietoja ja poimimaan iCloud-avainnipun salasanoja käyttämällä avoimen lähdekoodin työkalua nimeltä Chainbreaker.
Kerätyt tiedot, jotka sisältävät verkkoselaimen evästeet ja Telegram-tilitiedot, pakataan sitten ZIP-arkistoon ja lähetetään Command-and-Control (C2) -palvelimelle suodattamista varten.
Analyysi Cthulhu Stealerin kyvyistä
Cthulhu Stealerin ensisijainen tehtävä on kerätä tunnistetietoja ja kryptovaluuttalompakoita eri lähteistä, mukaan lukien pelitilit. Sen ominaisuudet muistuttavat läheisesti Atomic Stealerin ominaisuuksia, mikä viittaa siihen, että Cthulhu Stealerin kehittäjä on saattanut muokata Atomic Stealerin koodia. Molemmat käyttävät osascriptiä kysyäkseen käyttäjiltä salasanoja, vaikka heillä olisi samat kirjoitusvirheet.
Tämän haittaohjelman takana oleva ryhmä ei tiettävästi ole enää aktiivinen, osittain maksukiistan vuoksi, mikä johti tytäryhtiöiden syytöksiin irtautumishuijauksesta. Tämä johti siihen, että pääkehittäjä kiellettiin pysyvästi kyberrikollisuusmarkkinoilla, joilla varastajaa mainostettiin.
Cthulhu Stealer ei ole erityisen hienostunut, sillä siitä puuttuu kehittyneitä anti-analyysitekniikoita, jotka antaisivat sen toimia salaa. Lisäksi sillä ei ole erityisiä ominaisuuksia, jotka erottaisivat sen muista samankaltaisista maanalaisista työkaluista.
Apple toteuttaa lisätoimenpiteitä haittaohjelmien estämiseksi
Vaikka macOS kohtaa vähemmän uhkia kuin Windows ja Linux, käyttäjien tulee silti olla varovaisia. On erittäin tärkeää ladata ohjelmistoja vain hyvämaineisista lähteistä, välttää vahvistamattomien sovellusten asentamista ja pitää järjestelmät ajan tasalla uusimmilla tietoturvakorjauksilla.
Apple on tunnustanut macOS-haittaohjelmien lisääntymisen ja ilmoitti aiemmin tässä kuussa päivityksen tulevaan käyttöjärjestelmäversioonsa, Sequoiaan. Tämä päivitys ottaa käyttöön tiukemmat toimenpiteet sellaisten ohjelmistojen avaamiseen, joita ei ole allekirjoitettu tai notaarin vahvistama.
MacOS Sequoiassa käyttäjät eivät enää voi ohittaa Gatekeeperin vahvistamattomien ohjelmistojen hallinta-osoituksella. Sen sijaan heidän on siirryttävä kohtaan Järjestelmäasetukset > Tietosuoja ja suojaus tarkistaakseen ja hyväksyäkseen tällaisten sovellusten suojaustiedot ennen niiden käynnistämistä.
