Cthulhu Stealer
Výskumníci v oblasti kybernetickej bezpečnosti identifikovali nový malvér kradnúci informácie špeciálne navrhnutý tak, aby sa zameral na systémy Apple macOS, čím zdôraznili rastúci trend, keď sa aktéri hrozieb viac zameriavajú na tento operačný systém. Malvér s názvom Cthulhu Stealer je od konca roku 2023 ponúkaný ako súčasť balíka Malware-as-a-Service (MaaS) za cenu 500 dolárov mesačne. Je schopný útočiť na architektúry x86_64 aj Arm.
Cthulhu Stealer je distribuovaný ako obraz disku Apple (DMG) obsahujúci dva binárne súbory prispôsobené pre rôzne architektúry. Malvér napísaný v Golangu sa tvári ako legitímny softvér. Medzi softvérovými programami, ktoré napodobňuje, sú CleanMyMac, Grand Theft Auto IV a Adobe GenP, pričom druhý z nich je open source nástroj používaný na obídenie procesu aktivácie Adobe Creative Cloud.
Obsah
Cthulhu Stealer zhromažďuje citlivé údaje a poverenia
Používatelia, ktorí sa rozhodnú spustiť nepodpísaný súbor – po manuálnom obídení ochrany Gatekeepera – sú vyzvaní, aby zadali svoje systémové heslo. Túto techniku, založenú na skripte, využil aj iný malvér ako Atomic Stealer, Cuckoo , MacStealer a Banshee Stealer .
Následne sú používatelia vyzvaní, aby zadali svoje heslo MetaMask. Cthulhu Stealer je ďalej vybavený na zhromažďovanie systémových informácií a extrahovanie hesiel iCloud Keychain pomocou open-source nástroja s názvom Chainbreaker.
Zhromaždené údaje, ktoré zahŕňajú súbory cookie webového prehliadača a informácie o účte Telegram, sú potom komprimované do archívu ZIP a odoslané na server Command-and-Control (C2) na extrakciu.
Analýza schopností zlodeja Cthulhu
Primárnou funkciou Cthulhu Stealer je zbierať poverenia a kryptomenové peňaženky z rôznych zdrojov, vrátane herných účtov. Jeho vlastnosti sa veľmi podobajú tým Atomic Stealer, čo naznačuje, že vývojár Cthulhu Stealer mohol upraviť kód Atomic Stealer. Obidve používajú osascript na vyzvanie používateľov na zadanie hesla, dokonca zdieľajú rovnaké pravopisné chyby.
Skupina, ktorá stojí za týmto malvérom, už údajne nie je aktívna, čiastočne kvôli sporom o platbách, čo vedie k obvineniam pridružených spoločností z podvodu pri odchode. To viedlo k tomu, že hlavnému vývojárovi bol natrvalo zakázaný prístup na trh s počítačovou kriminalitou, kde bol zlodej inzerovaný.
Cthulhu Stealer nie je obzvlášť sofistikovaný, chýba mu pokročilé antianalytické techniky, ktoré by mu umožnili fungovať tajne. Navyše nemá žiadne výrazné schopnosti, ktoré by ho odlišovali od iných podobných nástrojov na podzemnom trhu.
Apple implementuje ďalšie kroky na prevenciu malvéru
Hoci macOS čelí menšiemu počtu hrozieb v porovnaní s Windowsom a Linuxom, používatelia by mali byť stále opatrní. Je dôležité sťahovať softvér iba z renomovaných zdrojov, vyhýbať sa inštalácii neoverených aplikácií a udržiavať systémy aktualizované pomocou najnovších bezpečnostných záplat.
Apple uznal nárast malvéru pre macOS a začiatkom tohto mesiaca oznámil aktualizáciu svojej pripravovanej verzie operačného systému Sequoia. Táto aktualizácia zavádza prísnejšie opatrenia na otváranie softvéru, ktorý nie je riadne podpísaný alebo notársky overený.
V systéme macOS Sequoia už používatelia nebudú môcť obísť Gatekeeper pre neoverený softvér stlačením klávesu Control a kliknutia. Namiesto toho budú musieť prejsť do Nastavenia systému > Súkromie a zabezpečenie, aby si prezreli a schválili bezpečnostné informácie pre takéto aplikácie pred ich spustením.
