Cthulhu Stealer
חוקרי אבטחת סייבר זיהו תוכנה זדונית חדשה לגניבת מידע שתוכננה במיוחד למקד למערכות macOS של Apple, והדגישה מגמה גוברת שבה גורמי איומים מתמקדים יותר במערכת ההפעלה הזו. בשם Cthulhu Stealer, התוכנה הזדונית מוצעת כחלק מחבילת Malware-as-a-Service (MaaS) מאז סוף 2023, במחיר של $500 לחודש. הוא מסוגל לתקוף גם x86_64 וגם ארכיטקטורות Arm.
ה-Cthulhu Stealer מופץ כתמונת דיסק של אפל (DMG) המכילה שני קבצים בינאריים המותאמים לארכיטקטורות שונות. כתוב בגולנג, התוכנה הזדונית מתחזה לתוכנה לגיטימית. בין התוכנות שהוא מחקה ניתן למנות את CleanMyMac, Grand Theft Auto IV ו-Adobe GenP, כשהאחרון הוא כלי קוד פתוח המשמש לעקוף את תהליך ההפעלה של Adobe Creative Cloud.
תוכן העניינים
הגנב של Cthulhu אוסף נתונים ואישורים רגישים
משתמשים שבוחרים להפעיל את הקובץ הלא חתום - לאחר עקיפת ידנית של הגנות שומר סף - מתבקשים להזין את סיסמת המערכת שלהם. טכניקה זו, המבוססת על סקריפט, נוצלה גם על ידי תוכנות זדוניות אחרות כמו הגניבה האטומית, קוקיה , מקסטילר והגנבת בנשי .
לאחר מכן, המשתמשים מתבקשים להזין את סיסמת MetaMask שלהם. ה-Cthulhu Stealer מצויד עוד יותר לאסוף מידע מערכת ולחלץ סיסמאות של iCloud Keychain באמצעות כלי קוד פתוח בשם Chainbreaker.
הנתונים שנאספו, הכוללים קובצי Cookie של דפדפן אינטרנט ופרטי חשבון טלגרם, נדחסים לאחר מכן לארכיון ZIP ונשלחים לשרת Command-and-Control (C2) לצורך הפצה.
ניתוח של היכולות של הגנב Cthulhu
הפונקציה העיקרית של Cthulhu Stealer היא לאסוף אישורים וארנקי מטבעות קריפטוגרפיים ממקורות שונים, כולל חשבונות משחק. התכונות שלו דומות מאוד לאלו של Atomic Stealer, מה שמרמז שייתכן שהמפתח של Cthulhu Stealer שינה את הקוד של Atomic Stealer. שניהם משתמשים ב-osascript כדי לבקש מהמשתמשים את הסיסמאות שלהם, ואפילו חולקים את אותן שגיאות כתיב.
על פי הדיווחים, הקבוצה שמאחורי תוכנה זדונית זו אינה פעילה יותר, בין היתר בשל מחלוקות על תשלומים, מה שמוביל להאשמות בהונאת יציאה על ידי שותפים. זה הביא לכך שהמפתח הראשי נאסר לצמיתות משוק פשעי הסייבר שבו פורסם הגנב.
ה-Cthulhu Stealer אינו מתוחכם במיוחד, חסר טכניקות אנטי-אנליזה מתקדמות שיאפשרו לו לפעול בחשאי. בנוסף, אין לו יכולות ייחודיות שמבדילות אותו מכלים דומים אחרים בשוק המחתרתי.
אפל מיישמת שלבים נוספים למניעת תוכנות זדוניות
למרות ש-macOS מתמודדת עם פחות איומים בהשוואה ל-Windows ולינוקס, המשתמשים עדיין צריכים להיות זהירים. חשוב להוריד תוכנה רק ממקורות מוכרים, להימנע מהתקנת יישומים לא מאומתים ולשמור על עדכון המערכות בתיקוני האבטחה העדכניים ביותר.
אפל הכירה בעליית התוכנה הזדונית של macOS, ובתחילת החודש הכריזה על עדכון לגרסת מערכת ההפעלה הקרובה שלה, Sequoia. עדכון זה מציג אמצעים מחמירים יותר לפתיחת תוכנה שאינה חתומה או נוטריונית כהלכה.
ב-macOS Sequoia, משתמשים לא יוכלו עוד ללחוץ על Control-ללחוץ כדי לעקוף את Gatekeeper עבור תוכנה לא מאומתת. במקום זאת, הם יצטרכו לנווט אל הגדרות מערכת > פרטיות ואבטחה כדי לסקור ולאשר מידע אבטחה עבור יישומים כאלה לפני הפעלתם.
