Złodziej Cthulhu
Badacze cyberbezpieczeństwa zidentyfikowali nowe złośliwe oprogramowanie kradnące informacje, zaprojektowane specjalnie do atakowania systemów Apple macOS, co wskazuje na rosnący trend, w którym aktorzy zagrożeń bardziej koncentrują się na tym systemie operacyjnym. Złośliwe oprogramowanie o nazwie Cthulhu Stealer jest oferowane jako część pakietu Malware-as-a-Service (MaaS) od końca 2023 r. w cenie 500 USD miesięcznie. Jest w stanie atakować zarówno architektury x86_64, jak i Arm.
Cthulhu Stealer jest dystrybuowany jako obraz dysku Apple (DMG) zawierający dwa pliki binarne dostosowane do różnych architektur. Napisany w Golang, malware podszywa się pod legalne oprogramowanie. Wśród programów, które imituje, znajdują się CleanMyMac, Grand Theft Auto IV i Adobe GenP, ten ostatni jest narzędziem typu open source używanym do omijania procesu aktywacji Adobe Creative Cloud.
Spis treści
Złodziej Cthulhu zbiera poufne dane i poświadczenia
Użytkownicy, którzy zdecydują się uruchomić niepodpisany plik — po ręcznym obejściu zabezpieczeń Gatekeeper — są proszeni o podanie hasła systemowego. Ta technika, oparta na skrypcie, była również wykorzystywana przez inne złośliwe oprogramowanie, takie jak Atomic Stealer, Cuckoo , MacStealer i Banshee Stealer .
Następnie użytkownicy są proszeni o podanie hasła MetaMask. Cthulhu Stealer jest dodatkowo wyposażony w możliwość zbierania informacji o systemie i wyodrębniania haseł iCloud Keychain za pomocą narzędzia typu open source o nazwie Chainbreaker.
Zebrane dane, obejmujące pliki cookie przeglądarki internetowej i informacje o koncie Telegram, są następnie kompresowane do pliku ZIP i wysyłane na serwer Command-and-Control (C2) w celu ich eksfiltracji.
Analiza możliwości złodzieja Cthulhu
Podstawową funkcją Cthulhu Stealer jest zbieranie danych uwierzytelniających i portfeli kryptowalutowych z różnych źródeł, w tym kont w grach. Jego funkcje są bardzo podobne do funkcji Atomic Stealer, co sugeruje, że twórca Cthulhu Stealer mógł zmodyfikować kod Atomic Stealer. Oba używają osascript do monitowania użytkowników o hasła, nawet dzieląc te same błędy ortograficzne.
Grupa stojąca za tym złośliwym oprogramowaniem podobno nie jest już aktywna, częściowo z powodu sporów o płatności, co doprowadziło do oskarżeń o oszustwo typu exit scam ze strony podmiotów stowarzyszonych. W rezultacie główny deweloper został trwale wykluczony z rynku cyberprzestępczości, na którym reklamowano złodzieja.
Cthulhu Stealer nie jest szczególnie wyrafinowany, brakuje mu zaawansowanych technik antyanalizy, które pozwoliłyby mu działać w ukryciu. Ponadto nie ma żadnych szczególnych możliwości, które odróżniałyby go od innych podobnych narzędzi na rynku podziemnym.
Apple wdraża dodatkowe kroki w celu zapobiegania złośliwemu oprogramowaniu
Chociaż macOS jest narażony na mniej zagrożeń w porównaniu do Windows i Linux, użytkownicy powinni zachować ostrożność. Ważne jest, aby pobierać oprogramowanie tylko ze sprawdzonych źródeł, unikać instalowania niezweryfikowanych aplikacji i aktualizować systemy najnowszymi poprawkami zabezpieczeń.
Apple przyznało się do wzrostu złośliwego oprogramowania macOS i na początku tego miesiąca ogłosiło aktualizację dla swojej nadchodzącej wersji systemu operacyjnego, Sequoia. Ta aktualizacja wprowadza surowsze środki w przypadku otwierania oprogramowania, które nie jest prawidłowo podpisane lub poświadczone notarialnie.
W systemie macOS Sequoia użytkownicy nie będą już mogli klikać Control, aby ominąć Gatekeeper dla niezweryfikowanego oprogramowania. Zamiast tego będą musieli przejść do Ustawień systemowych > Prywatność i bezpieczeństwo, aby przejrzeć i zatwierdzić informacje o zabezpieczeniach dla takich aplikacji przed ich uruchomieniem.
