Cthulhu Stealer
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุมัลแวร์ขโมยข้อมูลชนิดใหม่ที่ได้รับการออกแบบมาเพื่อโจมตีระบบ macOS ของ Apple โดยเฉพาะ ซึ่งเน้นย้ำถึงแนวโน้มที่เพิ่มขึ้นซึ่งผู้ก่อภัยคุกคามให้ความสำคัญกับระบบปฏิบัติการนี้มากขึ้น มัลแวร์ดังกล่าวมีชื่อว่า Cthulhu Stealer ซึ่งถูกนำเสนอเป็นส่วนหนึ่งของแพ็คเกจ Malware-as-a-Service (MaaS) ตั้งแต่ช่วงปลายปี 2023 โดยมีราคา 500 ดอลลาร์ต่อเดือน มัลแวร์ชนิดนี้สามารถโจมตีสถาปัตยกรรมทั้ง x86_64 และ Arm ได้
Cthulhu Stealer เผยแพร่ในรูปแบบ Apple disk image (DMG) ซึ่งประกอบด้วยไฟล์ไบนารี 2 ไฟล์ที่ปรับแต่งให้เหมาะกับสถาปัตยกรรมที่แตกต่างกัน มัลแวร์ที่เขียนด้วย Golang ปลอมตัวเป็นซอฟต์แวร์ที่ถูกกฎหมาย โปรแกรมซอฟต์แวร์ที่เลียนแบบได้แก่ CleanMyMac, Grand Theft Auto IV และ Adobe GenP โดยโปรแกรมหลังเป็นเครื่องมือโอเพ่นซอร์สที่ใช้เพื่อข้ามขั้นตอนการเปิดใช้งานของ Adobe Creative Cloud
สารบัญ
ผู้ขโมย Cthulhu รวบรวมข้อมูลและข้อมูลประจำตัวที่ละเอียดอ่อน
ผู้ใช้ที่เลือกเปิดไฟล์ที่ไม่ได้ลงนามหลังจากหลีกเลี่ยงการป้องกันของ Gatekeeper ด้วยตนเอง จะได้รับแจ้งให้ป้อนรหัสผ่านระบบ เทคนิคนี้ซึ่งใช้สคริปต์ยังถูกใช้โดยมัลแวร์อื่นๆ เช่น Atomic Stealer, Cuckoo , MacStealer และ Banshee Stealer อีกด้วย
หลังจากนั้น ผู้ใช้จะถูกขอให้ป้อนรหัสผ่าน MetaMask นอกจากนี้ Cthulhu Stealer ยังได้รับการติดตั้งอุปกรณ์เพื่อรวบรวมข้อมูลระบบและดึงรหัสผ่าน iCloud Keychain โดยใช้เครื่องมือโอเพ่นซอร์สที่เรียกว่า Chainbreaker
ข้อมูลที่รวบรวม ซึ่งรวมถึงคุกกี้ของเว็บเบราว์เซอร์และข้อมูลบัญชี Telegram จะถูกบีบอัดลงในไฟล์ ZIP และส่งไปยังเซิร์ฟเวอร์ Command-and-Control (C2) เพื่อการแยกข้อมูล
การวิเคราะห์ความสามารถของผู้ขโมยคธูลู
หน้าที่หลักของ Cthulhu Stealer คือการรวบรวมข้อมูลประจำตัวและกระเป๋าเงินสกุลเงินดิจิทัลจากแหล่งต่างๆ รวมถึงบัญชีเกม คุณสมบัติต่างๆ ของ Cthulhu Stealer นั้นคล้ายคลึงกับ Atomic Stealer มาก ซึ่งแสดงให้เห็นว่าผู้พัฒนา Cthulhu Stealer อาจได้แก้ไขโค้ดของ Atomic Stealer ทั้งสองโปรแกรมใช้ osascript เพื่อขอให้ผู้ใช้ป้อนรหัสผ่าน แม้ว่าจะมีข้อผิดพลาดในการสะกดเหมือนกันก็ตาม
รายงานระบุว่ากลุ่มที่อยู่เบื้องหลังมัลแวร์นี้ไม่ได้ดำเนินการอีกต่อไปแล้ว ส่วนหนึ่งเป็นเพราะข้อพิพาทเรื่องการชำระเงิน ซึ่งนำไปสู่การกล่าวหาว่ามีการหลอกลวงเพื่อออกจากระบบโดยผู้ร่วมธุรกิจ ส่งผลให้ผู้พัฒนารายหลักถูกแบนถาวรจากตลาดอาชญากรรมทางไซเบอร์ที่โฆษณาว่าขโมยข้อมูลดังกล่าวไป
Cthulhu Stealer นั้นไม่ได้ซับซ้อนเป็นพิเศษ ขาดเทคนิคต่อต้านการวิเคราะห์ขั้นสูงที่จะทำให้มันทำงานอย่างลับๆ ได้ นอกจากนี้ มันไม่มีคุณสมบัติพิเศษใดๆ ที่ทำให้แตกต่างจากเครื่องมือที่คล้ายคลึงกันในตลาดใต้ดิน
Apple กำลังดำเนินการขั้นตอนเพิ่มเติมเพื่อป้องกันมัลแวร์
แม้ว่า macOS จะเผชิญกับภัยคุกคามน้อยกว่าเมื่อเทียบกับ Windows และ Linux แต่ผู้ใช้ก็ยังคงต้องระมัดระวัง สิ่งสำคัญคือต้องดาวน์โหลดซอฟต์แวร์จากแหล่งที่เชื่อถือได้เท่านั้น หลีกเลี่ยงการติดตั้งแอปพลิเคชันที่ไม่ผ่านการตรวจสอบ และอัปเดตระบบด้วยแพตช์ความปลอดภัยล่าสุด
Apple ยอมรับว่ามีมัลแวร์ใน macOS เพิ่มขึ้น และเมื่อต้นเดือนนี้ ได้ประกาศอัปเดตสำหรับระบบปฏิบัติการ Sequoia เวอร์ชันใหม่ การอัปเดตนี้แนะนำมาตรการที่เข้มงวดยิ่งขึ้นสำหรับการเปิดซอฟต์แวร์ที่ไม่ได้ลงนามหรือรับรองอย่างถูกต้อง
ใน macOS Sequoia ผู้ใช้จะไม่สามารถกด Control-คลิกเพื่อข้าม Gatekeeper สำหรับซอฟต์แวร์ที่ไม่ได้รับการตรวจสอบได้อีกต่อไป แต่จะต้องไปที่การตั้งค่าระบบ > ความเป็นส่วนตัวและความปลอดภัย เพื่อตรวจสอบและอนุมัติข้อมูลความปลอดภัยสำหรับแอปพลิเคชันดังกล่าว ก่อนที่จะเรียกใช้
