Cthulhu Stealer
Cercetătorii în securitate cibernetică au identificat un nou malware de furt de informații conceput special pentru a viza sistemele Apple macOS, evidențiind o tendință în creștere în care actorii amenințărilor se concentrează mai mult pe acest sistem de operare. Numit Cthulhu Stealer, malware-ul a fost oferit ca parte a unui pachet Malware-as-a-Service (MaaS) de la sfârșitul anului 2023, la un preț de 500 USD pe lună. Este capabil să atace atât arhitecturile x86_64, cât și Arm.
Cthulhu Stealer este distribuit ca o imagine de disc Apple (DMG) care conține două binare adaptate pentru arhitecturi diferite. Scris în Golang, malware-ul se mascadă drept software legitim. Printre programele software pe care le imită se numără CleanMyMac, Grand Theft Auto IV și Adobe GenP, acesta din urmă fiind un instrument open-source folosit pentru a ocoli procesul de activare a Adobe Creative Cloud.
Cuprins
Furtul Cthulhu colectează date și acreditări sensibile
Utilizatorii care aleg să lanseze fișierul nesemnat – după ce au ocolit manual protecțiile Gatekeeper – li se solicită să introducă parola de sistem. Această tehnică, bazată pe un script, a fost utilizată și de alte programe malware precum Atomic Stealer, Cuckoo , MacStealer și Banshee Stealer .
După aceasta, utilizatorilor li se cere să introducă parola MetaMask. Cthulhu Stealer este echipat suplimentar pentru a colecta informații despre sistem și pentru a extrage parolele iCloud Keychain folosind un instrument open-source numit Chainbreaker.
Datele adunate, care includ cookie-uri ale browserului web și informații despre contul Telegram, sunt apoi comprimate într-o arhivă ZIP și trimise la un server Command-and-Control (C2) pentru exfiltrare.
O analiză a capacităților furatorului Cthulhu
Funcția principală a Cthulhu Stealer este de a colecta acreditări și portofele criptomonede din diverse surse, inclusiv conturi de joc. Caracteristicile sale seamănă foarte mult cu cele ale Atomic Stealer, sugerând că dezvoltatorul Cthulhu Stealer ar fi putut modifica codul Atomic Stealer. Ambele folosesc osascript pentru a solicita utilizatorilor parolele, chiar și împărtășind aceleași erori de ortografie.
Grupul din spatele acestui malware nu mai este activ, parțial din cauza disputelor cu privire la plăți, ceea ce duce la acuzații de înșelătorie de ieșire din partea afiliaților. Acest lucru a dus la interzicerea permanentă a dezvoltatorului principal de pe piața criminalității cibernetice, unde furatorul a fost anunțat.
Cthulhu Stealer nu este deosebit de sofisticat, lipsind tehnici avansate de anti-analiză care să-i permită să funcționeze pe furiș. În plus, nu are capacități distinctive care să-l deosebească de alte instrumente similare de pe piața subterană.
Apple implementează pași suplimentari pentru a preveni programele malware
Deși macOS se confruntă cu mai puține amenințări în comparație cu Windows și Linux, utilizatorii ar trebui să fie totuși precauți. Este esențial să descărcați software numai din surse de renume, să evitați instalarea de aplicații neverificate și să mențineți sistemele actualizate cu cele mai recente corecții de securitate.
Apple a recunoscut creșterea numărului de programe malware macOS și, la începutul acestei luni, a anunțat o actualizare pentru viitoarea sa versiune a sistemului de operare, Sequoia. Această actualizare introduce măsuri mai stricte pentru deschiderea software-ului care nu este semnat sau legalizat corespunzător.
În macOS Sequoia, utilizatorii nu vor mai putea să dea Control-clic pentru a ocoli Gatekeeper pentru software-ul neverificat. În schimb, vor trebui să navigheze la Setări sistem > Confidențialitate și securitate pentru a revizui și a aproba informațiile de securitate pentru astfel de aplicații înainte de a le rula.
