Cthulhu-dief
Cybersecurity-onderzoekers hebben een nieuwe malware voor het stelen van informatie geïdentificeerd die specifiek is ontworpen om Apple macOS-systemen aan te vallen, wat wijst op een groeiende trend waarbij dreigingsactoren zich meer op dit besturingssysteem richten. De malware, genaamd Cthulhu Stealer, wordt sinds eind 2023 aangeboden als onderdeel van een Malware-as-a-Service (MaaS)-pakket, voor een prijs van $ 500 per maand. Het is in staat om zowel x86_64- als Arm-architecturen aan te vallen.
De Cthulhu Stealer wordt gedistribueerd als een Apple disk image (DMG) met twee binaire bestanden die zijn afgestemd op verschillende architecturen. De malware is geschreven in Golang en doet zich voor als legitieme software. Tot de softwareprogramma's die het imiteert behoren CleanMyMac, Grand Theft Auto IV en Adobe GenP, waarbij de laatste een open-sourcetool is die wordt gebruikt om het activeringsproces van Adobe Creative Cloud te omzeilen.
Inhoudsopgave
De Cthulhu Stealer verzamelt gevoelige gegevens en inloggegevens
Gebruikers die ervoor kiezen om het niet-ondertekende bestand te starten, na het handmatig omzeilen van Gatekeeper-beveiligingen, worden gevraagd om hun systeemwachtwoord in te voeren. Deze techniek, gebaseerd op een script, is ook gebruikt door andere malware zoals de Atomic Stealer, Cuckoo , MacStealer en de Banshee Stealer .
Hierna wordt gebruikers gevraagd hun MetaMask-wachtwoord in te voeren. De Cthulhu Stealer is verder uitgerust om systeeminformatie te verzamelen en iCloud Keychain-wachtwoorden te extraheren met behulp van een open-sourcetool genaamd Chainbreaker.
De verzamelde gegevens, waaronder cookies van de webbrowser en Telegram-accountgegevens, worden vervolgens gecomprimeerd tot een ZIP-archief en naar een Command-and-Control (C2)-server gestuurd voor exfiltratie.
Een analyse van de capaciteiten van de Cthulhu-stealer
De primaire functie van de Cthulhu Stealer is het verzamelen van inloggegevens en cryptocurrency wallets van verschillende bronnen, waaronder game accounts. De functies lijken sterk op die van de Atomic Stealer, wat suggereert dat de ontwikkelaar van de Cthulhu Stealer de code van Atomic Stealer mogelijk heeft aangepast. Beide gebruiken osascript om gebruikers om hun wachtwoorden te vragen, zelfs met dezelfde spelfouten.
De groep achter deze malware is naar verluidt niet meer actief, deels vanwege geschillen over betalingen, wat leidde tot beschuldigingen van een exit scam door affiliates. Dit resulteerde erin dat de hoofdontwikkelaar permanent werd verbannen van de cybercrime marktplaats waar de stealer werd geadverteerd.
De Cthulhu Stealer is niet bijzonder geavanceerd, mist geavanceerde anti-analysetechnieken die het mogelijk zouden maken om heimelijk te opereren. Bovendien heeft het geen onderscheidende mogelijkheden die het onderscheiden van andere vergelijkbare tools op de ondergrondse markt.
Apple implementeert aanvullende stappen om malware te voorkomen
Hoewel macOS minder bedreigingen kent dan Windows en Linux, moeten gebruikers toch voorzichtig zijn. Het is cruciaal om software alleen te downloaden van betrouwbare bronnen, het installeren van niet-geverifieerde applicaties te vermijden en systemen up-to-date te houden met de nieuwste beveiligingspatches.
Apple heeft de opkomst van macOS-malware erkend en kondigde eerder deze maand een update aan voor de aankomende versie van het besturingssysteem, Sequoia. Deze update introduceert strengere maatregelen voor het openen van software die niet correct is ondertekend of notarieel is bekrachtigd.
In macOS Sequoia kunnen gebruikers niet langer Control-klikken om Gatekeeper te omzeilen voor niet-geverifieerde software. In plaats daarvan moeten ze naar Systeeminstellingen > Privacy en beveiliging navigeren om beveiligingsinformatie voor dergelijke applicaties te controleren en goed te keuren voordat ze deze uitvoeren.
