פוסידון סטילר
בניגוד לאמונה הרווחת, מכשירי macOS אינם אטומים לאיומי תוכנות זדוניות. חוקרי אבטחת סייבר זיהו תוכנה זדונית חדשה מסוג גנב, ה-Poseidon Stealer, המכוונת במיוחד למשתמשי מק.
תוכן העניינים
סקירה כללית של גונב פוסידון
ה-Poseidon Stealer הוא חלק מתוחכם של תוכנה זדונית שתוכנת לחלץ מגוון רחב של מידע רגיש ממכשירי macOS. זה כולל קבצים, אישורי כניסה, ארנקי מטבעות קריפטוגרפיים ונתונים אישיים אחרים. זוהתה לראשונה בתחילת הקיץ של 2024, פוסידון נצפתה מתפשטת באמצעות פרסומות הונאה של גוגל, ומדגימה את טווח ההגעה הרחב שלה ואת האסטרטגיות הערמומיות שהפעילו מפתחיה.
פונקציונליות ויכולות
פוסידון מתחיל באיסוף נתוני מכשיר חיוניים, כגון מידע חומרה, שם מכשיר ופרטי מערכת הפעלה, לאחר הדבקת מכשיר. שלב ראשוני זה חיוני כדי שהתוכנה הזדונית תבין את הסביבה אליה היא חדרה.
תפיסת קבצים ניתנת להתאמה אישית
על פי החומר הפרסומי המשמש את המפתחים של Poseidon, תוכנה זדונית זו מתהדרת ביכולות של תפיסת קבצים הניתנות להתאמה אישית. זה יכול לחלץ תוכן מאפליקציית Notes, תמונות המאוחסנות בתוך Notes ומחזיק מפתחות, שהוא מנהל הסיסמאות המקורי של macOS. גמישות זו הופכת את פוסידון למאיימת במיוחד, שכן ניתן להורות לו למקד סוגים ספציפיים של נתונים בהתאם לצרכי התוקף.
גניבת נתוני דפדפן
Poseidon מתמקדת גם בנתונים מדפדפנים שונים, כולל Google Chrome, Safari, Mozilla Firefox, Microsoft Edge ו-Opera. המידע שהוא מחפש כולל היסטוריית גלישה, היסטוריית מנועי חיפוש, עוגיות אינטרנט, אישורי כניסה, פרטים אישיים ומספרי כרטיסי אשראי. מגוון רחב זה של מטרות מצביע על כך שפוסידון נועד למקסם את כמות הנתונים הניתנים לניצול שהוא יכול לאסוף ממכשיר נגוע.
ארנקי מטבעות קריפטו ועוד
Poseidon מסוגלת לאסוף נתונים מלמעלה מ-160 ארנקי מטבעות קריפטוגרפיים שונים. בנוסף, הוא מכוון למידע הקשור למנהלי סיסמאות, לקוחות FTP ולקוחות VPN. למרות שהיכולת לגנוב תצורות VPN אינה מפותחת במלואה, הכללתה בחומר הפרסומי מעידה על כך שאיטרציות עתידיות של פוסידון יכולות להחזיק בפונקציונליות זו.
שיטות ההפצה של גנבי פוסידון
אחת השיטות העיקריות שבהן משתמשת פוסידון כדי להפיץ היא באמצעות פרסום רע, במיוחד פרסומות הונאה של גוגל. פושעי סייבר מנצלים שירותי פרסום לגיטימיים כדי להציב פרסומות מזיקות מעל ומעבר לתוצאות מנוע החיפוש. Poseidon הופץ גם דרך אתרים מזויפים המקדמים את דפדפן Arc, כאשר המתקינים נראים מקוריים אך מכילים הוראות לא בטוחות לעקוף אמצעי אבטחה.
טכניקות פוטנציאליות אחרות
בעוד שדרוג פרסום ואתרים מזויפים היו שיטות ההפצה הידועות ביותר, סביר להניח שטכניקות אחרות. המפתחים של Poseidon מוכרים את התוכנה הזדונית בפורומים של האקרים, מה שמרמז ששיטות ההפצה עשויות להשתנות בהתאם לתוקפים שמשתמשים בה.
שיטות הפצת תוכנות זדוניות נפוצות
תוכנות זדוניות כמו פוסידון מתפשטות לעתים קרובות באמצעות טכניקות דיוג והנדסה חברתית, מתחפשות לתוכנה או קבצי מדיה לגיטימיים או מצורפים אליהם. שיטות הפצה נפוצות כוללות:
- הורדות מעבר : הורדות מטעות המתרחשות ללא ידיעת המשתמש.
- קבצים מצורפים/קישורים הונאה : נמסר באמצעות הודעות דואר זבל, הודעות פרטיות או פוסטים במדיה חברתית.
- טקטיקות מקוונות ופרסום מזויף : תוכניות הונאה ופרסומות.
- מקורות הורדה לא אמינים : אתרי תוכנה חינמית, רשתות עמית לעמית ותוכן פיראטי.
- עדכוני תוכנה מזויפים : הטעיית משתמשים להתקין תוכנות הונאה במסווה של עדכונים.
- הפצה עצמית : תוכנות זדוניות מסוימות יכולות להתפשט באמצעות רשתות מקומיות או התקני אחסון נשלפים כמו כונני הבזק מסוג USB.
ה-Poseidon Stealer מייצג איום משמעותי על משתמשי macOS, ומדגיש שמכשירי Mac אינם חסינים בפני תוכנות זדוניות. על ידי הבנת היכולות ושיטות ההפצה של פוסידון, משתמשים יכולים לנקוט בצעדים כדי להגן על הנתונים שלהם ולהישאר ערניים מפני איומים מתוחכמים שכאלה.
