Cthulhu Stealer
A kiberbiztonsági kutatók egy új, információlopó rosszindulatú programot azonosítottak, amelyet kifejezetten az Apple macOS rendszereinek megcélzására terveztek, rávilágítva arra a növekvő tendenciára, ahol a fenyegetések szereplői jobban összpontosítanak erre az operációs rendszerre. A Cthulhu Stealer névre keresztelt kártevőt 2023 vége óta a Malware-as-a-Service (MaaS) csomag részeként kínálják, havi 500 dolláros áron. Mind az x86_64, mind az Arm architektúrák megtámadására képes.
A Cthulhu Stealer Apple lemezképként (DMG) kerül terjesztésre, amely két, különböző architektúrákhoz szabott bináris fájlt tartalmaz. Golang nyelven írva, a rosszindulatú program legitim szoftvernek álcázza magát. Az általa imitált szoftverek közé tartozik a CleanMyMac, a Grand Theft Auto IV és az Adobe GenP, amely utóbbi egy nyílt forráskódú eszköz, amellyel megkerülheti az Adobe Creative Cloud aktiválási folyamatát.
Tartalomjegyzék
A Cthulhu Stealer érzékeny adatokat és hitelesítő adatokat gyűjt
Azok a felhasználók, akik úgy döntenek, hogy elindítják az aláíratlan fájlt – miután manuálisan megkerülték a Gatekeeper-védelmet –, rendszerjelszavukat kérik. Ezt a szkripten alapuló technikát más rosszindulatú programok is alkalmazták, például az Atomic Stealer, a Cuckoo , a MacStealer és a Banshee Stealer .
Ezt követően a felhasználóknak meg kell adniuk a MetaMask jelszavukat. A Cthulhu Stealer továbbá fel van szerelve rendszerinformációk gyűjtésére és az iCloud Keychain jelszavak kinyerésére a Chainbreaker nevű nyílt forráskódú eszköz segítségével.
Az összegyűjtött adatokat, amelyek magukban foglalják a webböngésző cookie-jait és a Telegram-fiók adatait, egy ZIP-archívumba tömörítik, és kiszűrés céljából elküldik egy Command-and-Control (C2) szerverre.
A Cthulhu Stealer képességeinek elemzése
A Cthulhu Stealer elsődleges funkciója a hitelesítő adatok és kriptovaluta pénztárcák gyűjtése különböző forrásokból, beleértve a játékszámlákat is. Jellemzői nagyon hasonlítanak az Atomic Stealeréhez, ami arra utal, hogy a Cthulhu Stealer fejlesztője módosította az Atomic Stealer kódját. Mindkettő az osascript segítségével kéri a felhasználók jelszavát, még akkor is, ha ugyanazokat a helyesírási hibákat észlelik.
A rosszindulatú program mögött álló csoport a hírek szerint már nem aktív, részben a kifizetésekkel kapcsolatos viták miatt, ami a leányvállalatok általi kilépési csalás vádjához vezetett. Ennek eredményeként a fő fejlesztőt véglegesen kitiltották a kiberbűnözés elleni küzdelem piacáról, ahol a lopót hirdették.
A Cthulhu Stealer nem különösebben kifinomult, hiányoznak a fejlett anti-analízis technikák, amelyek lehetővé tennék a lopakodó működést. Ezenkívül nem rendelkezik olyan megkülönböztető képességekkel, amelyek megkülönböztetik a földalatti piac többi hasonló eszközétől.
Az Apple további lépéseket hajt végre a rosszindulatú programok megelőzésére
Bár a macOS kevesebb fenyegetéssel szembesül, mint a Windows és a Linux, a felhasználóknak továbbra is óvatosnak kell lenniük. Kulcsfontosságú, hogy csak jó hírű forrásokból töltsön le szoftvereket, kerülje a nem ellenőrzött alkalmazások telepítését, és tartsa naprakészen a rendszereket a legújabb biztonsági javításokkal.
Az Apple elismerte a macOS kártevők számának növekedését, és a hónap elején bejelentette a Sequoia operációs rendszer közelgő verziójának frissítését. Ez a frissítés szigorúbb intézkedéseket vezet be a nem megfelelően aláírt vagy közjegyző által hitelesített szoftverek megnyitására.
A macOS Sequoia rendszerben a felhasználók többé nem tudják a Control-kattintással megkerülni a Gatekeepert az ellenőrizetlen szoftverekért. Ehelyett a Rendszerbeállítások > Adatvédelem és biztonság oldalra kell lépniük, hogy áttekintsék és jóváhagyják az ilyen alkalmazások biztonsági adatait, mielőtt futtatnák őket.
