Cthulhu vjedhës
Studiuesit e sigurisë kibernetike kanë identifikuar një malware të ri për vjedhjen e informacionit të krijuar posaçërisht për të synuar sistemet macOS të Apple, duke theksuar një prirje në rritje ku aktorët e kërcënimit fokusohen më shumë në këtë sistem operativ. I quajtur Cthulhu Stealer, malware është ofruar si pjesë e një pakete Malware-as-a-Service (MaaS) që nga fundi i vitit 2023, me një çmim prej 500 dollarë në muaj. Ai është i aftë të sulmojë arkitekturën x86_64 dhe Arm.
Cthulhu Stealer shpërndahet si një imazh i diskut Apple (DMG) që përmban dy binare të përshtatura për arkitektura të ndryshme. I shkruar në Golang, malware maskohet si softuer legjitim. Ndër programet softuerike që imiton janë CleanMyMac, Grand Theft Auto IV dhe Adobe GenP, ky i fundit është një mjet me burim të hapur që përdoret për të anashkaluar procesin e aktivizimit të Adobe Creative Cloud.
Tabela e Përmbajtjes
Vjedhësi Cthulhu mbledh të dhëna dhe kredenciale të ndjeshme
Përdoruesit që zgjedhin të nisin skedarin e panënshkruar—pasi anashkalojnë manualisht mbrojtjen e Gatekeeper—u kërkohet të fusin fjalëkalimin e sistemit të tyre. Kjo teknikë, e bazuar në një skenar, është përdorur gjithashtu nga malware të tjerë si Atomic Stealer, Cuckoo , MacStealer dhe Banshee Stealer .
Pas kësaj, përdoruesve u kërkohet të fusin fjalëkalimin e tyre MetaMask. Cthulhu Stealer është i pajisur më tej për të mbledhur informacione të sistemit dhe për të nxjerrë fjalëkalimet e iCloud Keychain duke përdorur një mjet me burim të hapur të quajtur Chainbreaker.
Të dhënat e mbledhura, të cilat përfshijnë skedarët e shfletuesit të internetit dhe informacionin e llogarisë së Telegramit, më pas kompresohen në një arkiv ZIP dhe dërgohen në një server Command-and-Control (C2) për ekfiltrim.
Një analizë e aftësive të vjedhësit të Cthulhu
Funksioni kryesor i Cthulhu Stealer është të mbledhë kredencialet dhe kuletat e kriptomonedhave nga burime të ndryshme, duke përfshirë llogaritë e lojërave. Karakteristikat e tij ngjajnë shumë me ato të Atomic Stealer, duke sugjeruar që zhvilluesi i Cthulhu Stealer mund të ketë modifikuar kodin e Atomic Stealer. Të dy përdorin osascript për të nxitur përdoruesit për fjalëkalimet e tyre, madje duke ndarë të njëjtat gabime drejtshkrimore.
Grupi që qëndron pas këtij malware thuhet se nuk është më aktiv, pjesërisht për shkak të mosmarrëveshjeve mbi pagesat, duke çuar në akuza për një mashtrim në dalje nga filialet. Kjo rezultoi që zhvilluesi kryesor të ndalohej përgjithmonë nga tregu i krimit kibernetik ku ishte reklamuar vjedhësi.
Cthulhu Stealer nuk është veçanërisht i sofistikuar, i mungojnë teknikat e avancuara anti-analizë që do ta lejonin atë të funksiononte fshehurazi. Për më tepër, ai nuk ka ndonjë aftësi dalluese që e veçon atë nga mjetet e tjera të ngjashme në tregun e nëndheshëm.
Apple po zbaton hapa shtesë për të parandaluar malware
Megjithëse macOS përballet me më pak kërcënime në krahasim me Windows dhe Linux, përdoruesit duhet të jenë ende të kujdesshëm. Është thelbësore të shkarkoni softuer vetëm nga burime me reputacion, të shmangni instalimin e aplikacioneve të paverifikuara dhe t'i mbani sistemet të përditësuara me arnimet më të fundit të sigurisë.
Apple ka pranuar rritjen e malware të macOS dhe, në fillim të këtij muaji, njoftoi një përditësim për versionin e ardhshëm të sistemit operativ, Sequoia. Ky përditësim prezanton masa më të rrepta për hapjen e softuerit që nuk është i nënshkruar ose i noterizuar siç duhet.
Në macOS Sequoia, përdoruesit nuk do të jenë më në gjendje të klikojnë Control për të anashkaluar Gatekeeper për softuer të paverifikuar. Në vend të kësaj, ata do të duhet të lundrojnë te Cilësimet e Sistemit > Privatësia dhe Siguria për të shqyrtuar dhe miratuar informacionin e sigurisë për aplikacione të tilla përpara se t'i ekzekutojnë ato.
