Cthulhu Stealer
Cybersikkerhetsforskere har identifisert en ny skadelig programvare som stjeler informasjon spesielt utviklet for å målrette Apple macOS-systemer, og fremhever en økende trend der trusselaktører fokuserer mer på dette operativsystemet. Skadevaren, kalt Cthulhu Stealer, har blitt tilbudt som en del av en Malware-as-a-Service (MaaS)-pakke siden slutten av 2023, priset til $500 per måned. Den er i stand til å angripe både x86_64 og Arm-arkitekturer.
Cthulhu Stealer distribueres som et Apple-diskbilde (DMG) som inneholder to binærfiler skreddersydd for forskjellige arkitekturer. Skrevet i Golang, den skadelige programvaren maskerer seg som legitim programvare. Blant programvarene den imiterer er CleanMyMac, Grand Theft Auto IV og Adobe GenP, sistnevnte er et åpen kildekodeverktøy som brukes til å omgå Adobe Creative Clouds aktiveringsprosess.
Innholdsfortegnelse
Cthulhu Stealer samler inn sensitive data og legitimasjon
Brukere som velger å starte den usignerte filen – etter å ha omgått Gatekeeper-beskyttelse manuelt – blir bedt om å skrive inn systempassordet. Denne teknikken, basert på et skript, har også blitt brukt av annen skadelig programvare som Atomic Stealer, Cuckoo , MacStealer og Banshee Stealer .
Etter dette blir brukerne bedt om å skrive inn MetaMask-passordet sitt. Cthulhu Stealer er ytterligere utstyrt for å samle inn systeminformasjon og trekke ut iCloud Keychain-passord ved å bruke et åpen kildekodeverktøy kalt Chainbreaker.
De innsamlede dataene, som inkluderer nettleserinformasjonskapsler og Telegram-kontoinformasjon, komprimeres deretter til et ZIP-arkiv og sendes til en Command-and-Control-server (C2) for eksfiltrering.
En analyse av Cthulhu Stealers evner
Den primære funksjonen til Cthulhu Stealer er å høste legitimasjon og kryptovaluta-lommebøker fra forskjellige kilder, inkludert spillkontoer. Funksjonene ligner mye på Atomic Stealer, noe som tyder på at utvikleren av Cthulhu Stealer kan ha modifisert Atomic Stealers kode. Begge bruker osascript for å be brukere om passordene sine, og deler til og med de samme stavefeilene.
Gruppen bak denne skadevaren er angivelig ikke lenger aktiv, delvis på grunn av tvister om betalinger, noe som fører til anklager om en utgangssvindel fra tilknyttede selskaper. Dette resulterte i at hovedutvikleren ble permanent utestengt fra nettkriminalitetsmarkedet der tyveren ble annonsert.
Cthulhu Stealer er ikke spesielt sofistikert, og mangler avanserte antianalyseteknikker som vil tillate den å operere snikende. I tillegg har den ingen særegne egenskaper som skiller den fra andre lignende verktøy i undergrunnsmarkedet.
Apple implementerer ytterligere trinn for å forhindre skadelig programvare
Selv om macOS står overfor færre trusler sammenlignet med Windows og Linux, bør brukere fortsatt være forsiktige. Det er avgjørende å laste ned programvare kun fra anerkjente kilder, unngå å installere ubekreftede applikasjoner og holde systemene oppdatert med de nyeste sikkerhetsoppdateringene.
Apple har erkjent økningen i macOS malware og kunngjorde tidligere denne måneden en oppdatering for sin kommende operativsystemversjon, Sequoia. Denne oppdateringen introduserer strengere tiltak for å åpne programvare som ikke er riktig signert eller notarisert.
I macOS Sequoia vil brukere ikke lenger kunne kontrollere og klikke for å omgå Gatekeeper for ubekreftet programvare. I stedet må de navigere til Systeminnstillinger > Personvern og sikkerhet for å gjennomgå og godkjenne sikkerhetsinformasjon for slike applikasjoner før de kjører dem.
