Cthulhu vagystė
Kibernetinio saugumo tyrėjai nustatė naują informaciją vagiančią kenkėjišką programinę įrangą, specialiai sukurtą „Apple MacOS“ sistemoms nukreipti, išryškindama augančią tendenciją, kai grėsmės veikėjai daugiau dėmesio skiria šiai operacinei sistemai. Kenkėjiška programa, pavadinta „Cthulhu Stealer“, nuo 2023 m. pabaigos siūloma kaip „Malware-as-a-Service“ (MaaS) paketo dalis, kurios kaina yra 500 USD per mėnesį. Jis gali atakuoti ir x86_64, ir Arm architektūras.
„Cthulhu Stealer“ platinamas kaip „Apple“ disko vaizdas (DMG), kuriame yra du dvejetainiai failai, pritaikyti skirtingoms architektūroms. Parašyta Golango kalba, kenkėjiška programa maskuojasi kaip teisėta programinė įranga. Tarp programinės įrangos, kurią ji imituoja, yra „CleanMyMac“, „Grand Theft Auto IV“ ir „Adobe GenP“, pastaroji yra atvirojo kodo įrankis, naudojamas „Adobe Creative Cloud“ aktyvinimo procesui apeiti.
Turinys
„Cthulhu Stealer“ renka neskelbtinus duomenis ir kredencialus
Vartotojai, kurie pasirenka paleisti nepasirašytą failą, rankiniu būdu apeinant Gatekeeper apsaugą, yra raginami įvesti savo sistemos slaptažodį. Šią techniką, pagrįstą scenarijumi, taip pat naudojo kitos kenkėjiškos programos, tokios kaip „Atomic Stealer“, „Cuckoo“ , „MacStealer“ ir „Banshee Stealer“ .
Po to vartotojų prašoma įvesti savo MetaMask slaptažodį. „Cthulhu Stealer“ yra papildomai pritaikyta rinkti sistemos informaciją ir išgauti „iCloud Keychain“ slaptažodžius naudojant atvirojo kodo įrankį, vadinamą „Chainbreaker“.
Surinkti duomenys, įskaitant žiniatinklio naršyklės slapukus ir „Telegram“ paskyros informaciją, suglaudinami į ZIP archyvą ir siunčiami į komandų ir valdymo (C2) serverį išfiltruoti.
„Cthulhu Stealer“ galimybių analizė
Pagrindinė Cthulhu Stealer funkcija yra surinkti kredencialus ir kriptovaliutų pinigines iš įvairių šaltinių, įskaitant žaidimų paskyras. Jo savybės labai panašios į „Atomic Stealer“, o tai rodo, kad „Cthulhu Stealer“ kūrėjas galėjo modifikuoti „Atomic Stealer“ kodą. Abu naudoja osascript, kad paprašytų vartotojų įvesti slaptažodžius, netgi dalijasi tomis pačiomis rašybos klaidomis.
Pranešama, kad už šią kenkėjišką programą atsakinga grupė nebėra aktyvi, iš dalies dėl ginčų dėl mokėjimų, dėl kurių filialai kaltina pasitraukimu iš sukčiavimo. Dėl to pagrindiniam kūrėjui buvo visam laikui uždrausta dalyvauti kibernetinių nusikaltimų rinkoje, kurioje buvo reklamuojamas vagystė.
„Cthulhu Stealer“ nėra ypač sudėtingas, jame trūksta pažangių antianalizės metodų, kurie leistų jam veikti slaptai. Be to, jis neturi jokių išskirtinių savybių, kurios išskirtų jį iš kitų panašių įrankių požeminėje rinkoje.
„Apple“ imasi papildomų veiksmų, kad išvengtų kenkėjiškų programų
Nors „MacOS“ susiduria su mažiau grėsmių, palyginti su „Windows“ ir „Linux“, vartotojai vis tiek turėtų būti atsargūs. Labai svarbu atsisiųsti programinę įrangą tik iš patikimų šaltinių, vengti neįdiegti nepatvirtintų programų ir nuolat atnaujinti sistemas naudojant naujausius saugos pataisymus.
„Apple“ pripažino, kad daugėja „MacOS“ kenkėjiškų programų ir anksčiau šį mėnesį paskelbė apie būsimos operacinės sistemos „Sequoia“ versijos atnaujinimą. Šis naujinimas nustato griežtesnes priemones, skirtas atidaryti programinę įrangą, kuri nėra tinkamai pasirašyta arba nepatvirtinta notaro.
„MacOS Sequoia“ naudotojai nebegalės spustelėti „Control“ ir apeiti „Gatekeeper“, kad gautų nepatvirtintą programinę įrangą. Vietoj to, prieš paleisdami tokias programas, jie turės pereiti į Sistemos nustatymai > Privatumas ir sauga, kad peržiūrėtų ir patvirtintų tokių programų saugos informaciją.
