Cthulhu kradljivac
Istraživači kibernetičke sigurnosti identificirali su novi zlonamjerni softver za krađu informacija posebno dizajniran za ciljanje Appleovih macOS sustava, naglašavajući rastući trend u kojem se akteri prijetnji više fokusiraju na ovaj operativni sustav. Nazvan Cthulhu Stealer, malware se nudi kao dio paketa Malware-as-a-Service (MaaS) od kraja 2023., po cijeni od 500 USD mjesečno. Sposoban je napasti i x86_64 i Arm arhitekturu.
Cthulhu Stealer se distribuira kao Apple disk image (DMG) koji sadrži dvije binarne datoteke prilagođene različitim arhitekturama. Napisan u Golangu, zlonamjerni softver maskira se kao legitiman softver. Među softverskim programima koje imitira su CleanMyMac, Grand Theft Auto IV i Adobe GenP, a potonji je alat otvorenog koda koji se koristi za zaobilaženje procesa aktivacije Adobe Creative Clouda.
Sadržaj
Cthulhu Stealer prikuplja osjetljive podatke i vjerodajnice
Korisnici koji odluče pokrenuti nepotpisanu datoteku—nakon što su ručno zaobišli Gatekeeper zaštitu—od njih se traži da unesu svoju lozinku sustava. Ovu tehniku, temeljenu na skripti, također su koristili drugi zlonamjerni softveri poput Atomic Stealer, Cuckoo , MacStealer i Banshee Stealer .
Nakon toga, od korisnika se traži da unesu svoju lozinku za MetaMask. Cthulhu Stealer dodatno je opremljen za prikupljanje informacija o sustavu i izdvajanje lozinki za iCloud Keychain pomoću alata otvorenog koda pod nazivom Chainbreaker.
Prikupljeni podaci, koji uključuju kolačiće web-preglednika i informacije o Telegram računu, zatim se sažimaju u ZIP arhivu i šalju Command-and-Control (C2) poslužitelju radi eksfiltracije.
Analiza sposobnosti kradljivca Cthulhua
Primarna funkcija Cthulhu Stealera je sakupljanje vjerodajnica i novčanika kriptovaluta iz različitih izvora, uključujući račune za igre. Njegove značajke vrlo su slične onima Atomic Stealera, što sugerira da je programer Cthulhu Stealera možda modificirao kod Atomic Stealera. Oba koriste osascript za traženje lozinki od korisnika, čak dijele iste pravopisne pogreške.
Grupa koja stoji iza ovog zlonamjernog softvera navodno više nije aktivna, djelomično zbog sporova oko plaćanja, što je dovelo do optužbi za prijevaru od strane podružnica. To je rezultiralo trajnom zabranom glavnog programera na tržištu kibernetičkog kriminala na kojem je kradljivac oglašavan.
Cthulhu Stealer nije osobito sofisticiran, nedostaju mu napredne tehnike protiv analize koje bi mu omogućile tajno djelovanje. Osim toga, nema nikakve karakteristične mogućnosti koje ga izdvajaju od drugih sličnih alata na podzemnom tržištu.
Apple provodi dodatne korake za sprječavanje zlonamjernog softvera
Iako se macOS suočava s manje prijetnji u usporedbi s Windowsima i Linuxom, korisnici bi ipak trebali biti oprezni. Ključno je preuzimati softver samo iz renomiranih izvora, izbjegavati instaliranje neprovjerenih aplikacija i ažurirati sustave najnovijim sigurnosnim zakrpama.
Apple je priznao porast zlonamjernog softvera za macOS i ranije ovog mjeseca najavio ažuriranje za svoju nadolazeću verziju operativnog sustava, Sequoia. Ovo ažuriranje uvodi strože mjere za otvaranje softvera koji nije ispravno potpisan ili ovjeren kod javnog bilježnika.
U sustavu macOS Sequoia korisnici više neće moći pritisnuti Control i kliknuti kako bi zaobišli Gatekeeper za neprovjereni softver. Umjesto toga, morat će otvoriti Postavke sustava > Privatnost i sigurnost kako bi pregledali i odobrili sigurnosne informacije za takve aplikacije prije nego što ih pokrenu.
