Pencuri Cthulhu
Penyelidik keselamatan siber telah mengenal pasti perisian hasad mencuri maklumat baharu yang direka khusus untuk menyasarkan sistem macOS Apple, menyerlahkan trend yang semakin meningkat di mana pelaku ancaman lebih menumpukan pada sistem pengendalian ini. Dinamakan Cthulhu Stealer, perisian hasad itu telah ditawarkan sebagai sebahagian daripada pakej Malware-as-a-Service (MaaS) sejak lewat 2023, berharga $500 sebulan. Ia mampu menyerang kedua-dua seni bina x86_64 dan Arm.
Cthulhu Stealer diedarkan sebagai imej cakera Apple (DMG) yang mengandungi dua binari yang disesuaikan untuk seni bina yang berbeza. Ditulis dalam Golang, perisian hasad menyamar sebagai perisian yang sah. Antara program perisian yang ditirunya ialah CleanMyMac, Grand Theft Auto IV dan Adobe GenP, yang terakhir ialah alat sumber terbuka yang digunakan untuk memintas proses pengaktifan Adobe Creative Cloud.
Isi kandungan
The Cthulhu Stealer Mengumpul Data Sensitif dan Bukti Kelayakan
Pengguna yang memilih untuk melancarkan fail yang tidak ditandatangani—selepas memintas perlindungan Gatekeeper secara manual—digesa untuk memasukkan kata laluan sistem mereka. Teknik ini, berdasarkan skrip, juga telah digunakan oleh perisian hasad lain seperti Atomic Stealer, Cuckoo , MacStealer dan Banshee Stealer .
Berikutan ini, pengguna diminta memasukkan kata laluan MetaMask mereka. Cthulhu Stealer dilengkapi lagi untuk mengumpul maklumat sistem dan mengekstrak kata laluan Rantai Kunci iCloud menggunakan alat sumber terbuka yang dipanggil Chainbreaker.
Data yang dikumpul, termasuk kuki penyemak imbas web dan maklumat akaun Telegram, kemudian dimampatkan ke dalam arkib ZIP dan dihantar ke pelayan Command-and-Control (C2) untuk exfiltration.
Analisis Keupayaan Pencuri Cthulhu
Fungsi utama Cthulhu Stealer adalah untuk mendapatkan bukti kelayakan dan dompet mata wang kripto daripada pelbagai sumber, termasuk akaun permainan. Ciri-cirinya hampir menyerupai ciri-ciri Pencuri Atom, menunjukkan bahawa pembangun Pencuri Cthulhu mungkin telah mengubah suai kod Pencuri Atom. Kedua-duanya menggunakan osaskrip untuk menggesa pengguna untuk kata laluan mereka, malah berkongsi ralat ejaan yang sama.
Kumpulan di sebalik perisian hasad ini dilaporkan tidak lagi aktif, sebahagiannya disebabkan oleh pertikaian mengenai pembayaran, yang membawa kepada tuduhan penipuan keluar oleh ahli gabungan. Ini menyebabkan pemaju utama dilarang secara kekal daripada pasaran jenayah siber di mana pencuri itu diiklankan.
Cthulhu Stealer tidak begitu canggih, tidak mempunyai teknik anti-analisis lanjutan yang membolehkannya beroperasi secara senyap. Selain itu, ia tidak mempunyai sebarang keupayaan tersendiri yang membezakannya daripada alat lain yang serupa dalam pasaran bawah tanah.
Apple Sedang Melaksanakan Langkah Tambahan untuk Mencegah Perisian Hasad
Walaupun macOS menghadapi ancaman yang lebih sedikit berbanding Windows dan Linux, pengguna masih harus berhati-hati. Adalah penting untuk memuat turun perisian hanya daripada sumber yang bereputasi, elakkan memasang aplikasi yang tidak disahkan dan memastikan sistem dikemas kini dengan tampung keselamatan terkini.
Apple telah mengakui peningkatan dalam perisian hasad macOS dan, awal bulan ini, mengumumkan kemas kini untuk versi sistem pengendaliannya yang akan datang, Sequoia. Kemas kini ini memperkenalkan langkah yang lebih ketat untuk membuka perisian yang tidak ditandatangani atau disahkan dengan notari dengan betul.
Dalam macOS Sequoia, pengguna tidak lagi dapat Control-klik untuk memintas Gatekeeper untuk perisian yang tidak disahkan. Sebaliknya, mereka perlu menavigasi ke Tetapan Sistem > Privasi & Keselamatan untuk menyemak dan meluluskan maklumat keselamatan untuk aplikasi tersebut sebelum menjalankannya.
