Cthulhu Stealer
Raziskovalci kibernetske varnosti so identificirali novo zlonamerno programsko opremo za krajo informacij, ki je posebej zasnovana za sisteme Apple macOS, s čimer poudarjajo naraščajoči trend, ko se akterji groženj bolj osredotočajo na ta operacijski sistem. Zlonamerna programska oprema, imenovana Cthulhu Stealer, je od konca leta 2023 na voljo kot del paketa Malware-as-a-Service (MaaS) po ceni 500 USD na mesec. Sposoben je napadati tako x86_64 kot arhitekturo Arm.
Cthulhu Stealer se distribuira kot Apple disk image (DMG), ki vsebuje dve binarni datoteki, prilagojeni različnim arhitekturam. Zlonamerna programska oprema, napisana v golangu, se predstavlja kot zakonita programska oprema. Med programi, ki jih posnema, so CleanMyMac, Grand Theft Auto IV in Adobe GenP, pri čemer je slednji odprtokodno orodje, ki se uporablja za izogibanje procesu aktivacije Adobe Creative Cloud.
Kazalo
Cthulhu Stealer zbira občutljive podatke in poverilnice
Uporabniki, ki se odločijo zagnati nepodpisano datoteko – potem ko so ročno obšli zaščito Gatekeeperja – so pozvani, da vnesejo svoje sistemsko geslo. To tehniko, ki temelji na skriptu, so uporabile tudi druge zlonamerne programske opreme, kot so Atomic Stealer, Cuckoo , MacStealer in Banshee Stealer .
Nato morajo uporabniki vnesti svoje geslo za MetaMask. Cthulhu Stealer je dodatno opremljen za zbiranje informacij o sistemu in pridobivanje gesel iCloud Keychain z uporabo odprtokodnega orodja, imenovanega Chainbreaker.
Zbrani podatki, ki vključujejo piškotke spletnega brskalnika in informacije o računu Telegram, so nato stisnjeni v arhiv ZIP in poslani strežniku Command-and-Control (C2) za izločanje.
Analiza zmogljivosti Cthulhu Stealerja
Primarna funkcija Cthulhu Stealerja je pridobivanje poverilnic in denarnic za kriptovalute iz različnih virov, vključno z računi za igre. Njegove lastnosti so zelo podobne tistim iz Atomic Stealerja, kar nakazuje, da je razvijalec Cthulhu Stealerja morda spremenil kodo Atomic Stealerja. Oba uporabljata osascript, da uporabnike pozoveta k vnosu gesel, pri čemer imata celo enake črkovalne napake.
Skupina, ki stoji za to zlonamerno programsko opremo, menda ni več aktivna, delno zaradi sporov glede plačil, kar je vodilo do obtožb o prevari pri izstopu s strani podružnic. Zaradi tega je bil glavni razvijalec trajno prepovedan dostop do trga kibernetske kriminalitete, kjer se je tat oglaševal.
Cthulhu Stealer ni posebej prefinjen, saj nima naprednih antianaliznih tehnik, ki bi mu omogočile prikrito delovanje. Poleg tega nima nobenih značilnih zmogljivosti, ki bi ga ločevale od drugih podobnih orodij na podzemnem trgu.
Apple uvaja dodatne korake za preprečevanje zlonamerne programske opreme
Čeprav se macOS sooča z manj grožnjami v primerjavi z Windows in Linuxom, morajo biti uporabniki vseeno previdni. Ključnega pomena je, da programsko opremo prenašate le iz uglednih virov, izogibate se nameščanju nepreverjenih aplikacij in posodabljate sisteme z najnovejšimi varnostnimi popravki.
Apple je priznal porast zlonamerne programske opreme macOS in v začetku tega meseca napovedal posodobitev za svojo prihajajočo različico operacijskega sistema Sequoia. Ta posodobitev uvaja strožje ukrepe za odpiranje programske opreme, ki ni pravilno podpisana ali notarsko overjena.
V macOS Sequoia uporabniki ne bodo mogli več s pritiskom tipke Control zaobiti Gatekeeperja za nepreverjeno programsko opremo. Namesto tega bodo morali odpreti Sistemske nastavitve > Zasebnost in varnost, da pregledajo in odobrijo varnostne informacije za takšne aplikacije, preden jih zaženejo.
