Cthulhu Stealer
Истраживачи сајбер безбедности идентификовали су нови малвер за крађу информација посебно дизајниран да циља Аппле мацОС системе, наглашавајући растући тренд где се актери претњи више фокусирају на овај оперативни систем. Назван Цтхулху Стеалер, малвер се нуди као део пакета Малвер-ас-а-Сервице (МааС) од краја 2023. по цени од 500 долара месечно. Може да нападне и к86_64 и Арм архитектуру.
Цтхулху Стеалер се дистрибуира као Аппле диск слика (ДМГ) која садржи две бинарне датотеке скројене за различите архитектуре. Написан на Голангу, малвер се маскира као легитиман софтвер. Међу софтверским програмима које имитира су ЦлеанМиМац, Гранд Тхефт Ауто ИВ и Адобе ГенП, при чему је овај други алат отвореног кода који се користи за заобилажење процеса активације Адобе Цреативе Цлоуд-а.
Преглед садржаја
Ктулху крадљивац прикупља осетљиве податке и акредитиве
Од корисника који одлуче да покрену непотписану датотеку — након што су ручно заобишли заштиту Гатекеепер-а — биће затражено да унесу своју системску лозинку. Ову технику, засновану на скрипти, користи и други злонамерни софтвер као што су Атомиц Стеалер, Цуцкоо , МацСтеалер и Бансхее Стеалер .
Након тога, од корисника се тражи да унесу своју МетаМаск лозинку. Цтхулху Стеалер је додатно опремљен за прикупљање системских информација и издвајање иЦлоуд Кеицхаин лозинки помоћу алата отвореног кода који се зове Цхаинбреакер.
Прикупљени подаци, који укључују колачиће веб претраживача и информације о Телеграм налогу, затим се компримују у ЗИП архиву и шаљу на сервер за команду и контролу (Ц2) ради ексфилтрације.
Анализа способности крадљивца Ктулуа
Примарна функција Цтхулху Стеалер-а је прикупљање акредитива и новчаника криптовалута из различитих извора, укључујући рачуне за игре. Његове карактеристике су веома сличне онима Атомиц Стеалер-а, што сугерише да је програмер Цтхулху Стеалер-а можда модификовао Атомиц Стеалер-ов код. Обојица користе осасцрипт да траже од корисника своје лозинке, чак и деле исте правописне грешке.
Група која стоји иза овог злонамерног софтвера наводно више није активна, делом због спорова око плаћања, што доводи до оптужби за превара са излазом од стране филијала. То је довело до тога да је главном програмеру трајно забрањен приступ сајбер-криминалном тржишту на којем је крадљивац оглашен.
Ктулху крадљивац није нарочито софистициран, недостају му напредне технике антианализе које би му омогућиле да делује прикривено. Поред тога, он нема никакве карактеристичне могућности које га издвајају од других сличних алата на ундергроунд тржишту.
Аппле спроводи додатне кораке за спречавање злонамерног софтвера
Иако се мацОС суочава са мање претњи у поређењу са Виндовс-ом и Линук-ом, корисници би ипак требало да буду опрезни. Кључно је да преузимате софтвер само из реномираних извора, избегавате инсталирање непроверених апликација и одржавате системе ажурираним најновијим безбедносним закрпама.
Аппле је признао пораст мацОС малвера и раније овог месеца најавио је ажурирање за своју надолазећу верзију оперативног система, Секуоиа. Ово ажурирање уводи строже мере за отварање софтвера који није правилно потписан или оверен.
У мацОС Секуоиа, корисници више неће моћи да притисну Цонтрол и кликну да би заобишли Гатекеепер за непроверен софтвер. Уместо тога, мораће да оду до Подешавања система > Приватност и безбедност да би прегледали и одобрили безбедносне информације за такве апликације пре него што их покрену.
