Cthulhu Stealer
Исследователи кибербезопасности обнаружили новое вредоносное ПО для кражи информации, специально разработанное для систем Apple macOS, что подчеркивает растущую тенденцию, когда злоумышленники все больше сосредотачиваются на этой операционной системе. Названное Cthulhu Stealer, вредоносное ПО предлагается как часть пакета Malware-as-a-Service (MaaS) с конца 2023 года по цене 500 долларов в месяц. Оно способно атаковать как архитектуры x86_64, так и Arm.
Cthulhu Stealer распространяется как образ диска Apple (DMG), содержащий два двоичных файла, адаптированных для разных архитектур. Написанный на Golang, вредоносный код маскируется под легальное программное обеспечение. Среди программ, которые он имитирует, — CleanMyMac, Grand Theft Auto IV и Adobe GenP, последний из которых является инструментом с открытым исходным кодом, используемым для обхода процесса активации Adobe Creative Cloud.
Оглавление
Cthulhu Stealer собирает конфиденциальные данные и учетные данные
Пользователям, которые решают запустить неподписанный файл — после ручного обхода защиты Gatekeeper — предлагается ввести системный пароль. Этот метод, основанный на скрипте, также использовался другими вредоносными программами, такими как Atomic Stealer, Cuckoo , MacStealer и Banshee Stealer .
После этого пользователям предлагается ввести пароль MetaMask. Cthulhu Stealer дополнительно оснащен для сбора системной информации и извлечения паролей iCloud Keychain с помощью инструмента с открытым исходным кодом под названием Chainbreaker.
Собранные данные, включая файлы cookie веб-браузера и информацию об учетной записи Telegram, затем сжимаются в ZIP-архив и отправляются на сервер управления и контроля (C2) для извлечения.
Анализ возможностей Ктулху-вора
Основная функция Cthulhu Stealer — сбор учетных данных и криптовалютных кошельков из различных источников, включая игровые аккаунты. Его функции очень похожи на функции Atomic Stealer, что позволяет предположить, что разработчик Cthulhu Stealer мог модифицировать код Atomic Stealer. Оба используют osascript для запроса паролей у пользователей, даже допуская одинаковые орфографические ошибки.
Сообщается, что группа, стоящая за этим вредоносным ПО, больше не активна, отчасти из-за споров о платежах, что привело к обвинениям в экзит-скаме со стороны аффилированных лиц. Это привело к тому, что основной разработчик был навсегда забанен на рынке киберпреступности, где рекламировался стиллер.
Cthulhu Stealer не особенно сложен, не имеет продвинутых методов антианализа, которые позволили бы ему действовать скрытно. Кроме того, у него нет никаких отличительных возможностей, которые отличали бы его от других подобных инструментов на подпольном рынке.
Apple принимает дополнительные меры по предотвращению вредоносного ПО
Хотя macOS сталкивается с меньшим количеством угроз по сравнению с Windows и Linux, пользователям все равно следует быть осторожными. Крайне важно загружать программное обеспечение только из надежных источников, избегать установки непроверенных приложений и обновлять системы с помощью последних исправлений безопасности.
Apple признала рост вредоносного ПО для macOS и в начале этого месяца анонсировала обновление для своей будущей версии операционной системы Sequoia. Это обновление вводит более строгие меры для открытия программного обеспечения, которое не подписано или не заверено должным образом.
В macOS Sequoia пользователи больше не смогут использовать Control-click для обхода Gatekeeper для непроверенного ПО. Вместо этого им нужно будет перейти в Системные настройки > Конфиденциальность и безопасность, чтобы просмотреть и одобрить информацию о безопасности для таких приложений перед их запуском.
