Cthulhu zaglis
Kiberdrošības pētnieki ir atklājuši jaunu informācijas zagšanas ļaunprogrammatūru, kas īpaši izstrādāta, lai mērķētu uz Apple MacOS sistēmām, uzsverot pieaugošo tendenci, kad apdraudējuma dalībnieki vairāk koncentrējas uz šo operētājsistēmu. Ļaunprātīgā programmatūra, kas nosaukta par Cthulhu Stealer, kopš 2023. gada beigām tiek piedāvāta kā daļa no Malware-as-a-Service (MaaS) pakotnes, kuras cena ir 500 USD mēnesī. Tas spēj uzbrukt gan x86_64, gan Arm arhitektūrām.
Cthulhu Stealer tiek izplatīts kā Apple diska attēls (DMG), kas satur divus bināros failus, kas pielāgoti dažādām arhitektūrām. Golangā rakstītā ļaunprātīgā programmatūra tiek maskēta kā likumīga programmatūra. Starp programmatūras programmām, kuras tā imitē, ir CleanMyMac, Grand Theft Auto IV un Adobe GenP, kas ir atvērtā pirmkoda rīks, ko izmanto, lai apietu Adobe Creative Cloud aktivizācijas procesu.
Satura rādītājs
Cthulhu Stealer apkopo sensitīvus datus un akreditācijas datus
Lietotājiem, kuri izvēlas palaist neparakstīto failu pēc tam, kad ir manuāli apiet Gatekeeper aizsardzību, tiek piedāvāts ievadīt sistēmas paroli. Šo uz skriptu balstīto paņēmienu ir izmantojušas arī citas ļaunprātīgas programmatūras, piemēram, Atomic Stealer, Cuckoo , MacStealer un Banshee Stealer .
Pēc tam lietotājiem tiek lūgts ievadīt savu MetaMask paroli. Cthulhu Stealer ir papildus aprīkots, lai apkopotu sistēmas informāciju un iegūtu iCloud Keychain paroles, izmantojot atvērtā koda rīku Chainbreaker.
Apkopotie dati, kas ietver tīmekļa pārlūkprogrammas sīkfailus un Telegram konta informāciju, pēc tam tiek saspiesti ZIP arhīvā un nosūtīti uz Command-and-Control (C2) serveri eksfiltrācijai.
Cthulhu Stealer spēju analīze
Cthulhu Stealer galvenā funkcija ir iegūt akreditācijas datus un kriptovalūtas makus no dažādiem avotiem, tostarp spēļu kontiem. Tās funkcijas ir ļoti līdzīgas Atomic Stealer funkcijām, kas liecina, ka Cthulhu Stealer izstrādātājs, iespējams, ir mainījis Atomic Stealer kodu. Abi izmanto osascript, lai pieprasītu lietotājiem ievadīt paroles, pat kopīgojot tās pašas pareizrakstības kļūdas.
Tiek ziņots, ka grupa, kas ir aiz šīs ļaunprātīgās programmatūras, vairs nav aktīva, daļēji strīdu par maksājumiem dēļ, kā rezultātā saistītie uzņēmumi tiek apsūdzēti par izstāšanos no krāpniecības. Tā rezultātā galvenajam izstrādātājam tika neatgriezeniski aizliegts piedalīties kibernoziegumu tirgū, kurā tika reklamēts zaglis.
Cthulhu Stealer nav īpaši izsmalcināts, tam trūkst progresīvu pretanalīzes paņēmienu, kas ļautu tam darboties slepeni. Turklāt tam nav nekādu atšķirīgu iespēju, kas to atšķirtu no citiem līdzīgiem rīkiem pazemes tirgū.
Apple veic papildu pasākumus, lai novērstu ļaunprātīgu programmatūru
Lai gan macOS saskaras ar mazāku draudu skaitu salīdzinājumā ar Windows un Linux, lietotājiem joprojām jābūt piesardzīgiem. Ir ļoti svarīgi lejupielādēt programmatūru tikai no uzticamiem avotiem, izvairīties no nepārbaudītu lietojumprogrammu instalēšanas un regulāri atjaunināt sistēmas ar jaunākajiem drošības ielāpiem.
Apple ir atzinusi MacOS ļaunprātīgas programmatūras pieaugumu un šī mēneša sākumā paziņoja par atjauninājumu savai gaidāmajai operētājsistēmas versijai Sequoia. Šis atjauninājums ievieš stingrākus pasākumus, lai atvērtu programmatūru, kas nav pareizi parakstīta vai notariāli apliecināta.
Operētājsistēmā macOS Sequoia lietotāji vairs nevarēs nospiest Control-klikšķi, lai apietu Gatekeeper, lai iegūtu nepārbaudītu programmatūru. Tā vietā viņiem būs jāpāriet uz Sistēmas iestatījumi > Privātums un drošība, lai pirms šo lietojumprogrammu palaišanas pārskatītu un apstiprinātu drošības informāciju.
