Cthulhu Stealer

Natukoy ng mga mananaliksik sa cybersecurity ang isang bagong malware sa pagnanakaw ng impormasyon na partikular na idinisenyo upang i-target ang mga Apple macOS system, na nagha-highlight sa isang lumalagong trend kung saan ang mga banta na aktor ay higit na nakatuon sa operating system na ito. Pinangalanang Cthulhu Stealer, ang malware ay inaalok bilang bahagi ng isang Malware-as-a-Service (MaaS) package mula noong huling bahagi ng 2023, na nagkakahalaga ng $500 bawat buwan. Ito ay may kakayahang umatake sa parehong x86_64 at Arm architecture.

Ang Cthulhu Stealer ay ipinamahagi bilang isang Apple disk image (DMG) na naglalaman ng dalawang binary na iniayon para sa iba't ibang mga arkitektura. Nakasulat sa Golang, nagpapanggap ang malware bilang lehitimong software. Kabilang sa mga software program na ginagaya nito ay ang CleanMyMac, Grand Theft Auto IV, at Adobe GenP, ang huli ay isang open-source na tool na ginagamit upang i-bypass ang proseso ng activation ng Adobe Creative Cloud.

Ang Cthulhu Stealer ay Nangongolekta ng Sensitibong Data at Mga Kredensyal

Ang mga user na pipiliing ilunsad ang hindi napirmahang file—pagkatapos ng manu-manong pag-bypass sa mga proteksyon ng Gatekeeper—ay sinenyasan na ilagay ang kanilang password sa system. Ang diskarteng ito, batay sa isang script, ay ginamit din ng iba pang malware tulad ng Atomic Stealer, Cuckoo , MacStealer at ang Banshee Stealer .

Kasunod nito, hinihiling sa mga user na ipasok ang kanilang MetaMask password. Ang Cthulhu Stealer ay higit pang nilagyan upang mangolekta ng impormasyon ng system at kunin ang mga password ng iCloud Keychain gamit ang isang open-source na tool na tinatawag na Chainbreaker.

Ang nakalap na data, na kinabibilangan ng cookies ng web browser at impormasyon ng Telegram account, ay i-compress sa isang ZIP archive at ipapadala sa isang Command-and-Control (C2) server para sa exfiltration.

Isang Pagsusuri sa Mga Kakayahan ng Cthulhu Stealer

Ang pangunahing tungkulin ng Cthulhu Stealer ay ang pag-ani ng mga kredensyal at mga wallet ng cryptocurrency mula sa iba't ibang mapagkukunan, kabilang ang mga account ng laro. Ang mga tampok nito ay halos katulad ng sa Atomic Stealer, na nagmumungkahi na ang developer ng Cthulhu Stealer ay maaaring binago ang code ng Atomic Stealer. Parehong gumagamit ng osascript upang i-prompt ang mga user para sa kanilang mga password, kahit na nagbabahagi ng parehong mga error sa spelling.

Ang pangkat sa likod ng malware na ito ay naiulat na hindi na aktibo, bahagyang dahil sa mga pagtatalo sa mga pagbabayad, na humahantong sa mga akusasyon ng isang exit scam ng mga kaakibat. Nagresulta ito sa pagiging permanenteng pinagbawalan ng pangunahing developer mula sa cybercrime marketplace kung saan ina-advertise ang magnanakaw.

Ang Cthulhu Stealer ay hindi partikular na sopistikado, kulang sa advanced na mga diskarte sa anti-analysis na magbibigay-daan dito na palihim na gumana. Bukod pa rito, wala itong anumang mga natatanging kakayahan na nagtatakda nito sa iba pang katulad na mga tool sa underground market.

Nagpapatupad ang Apple ng Mga Karagdagang Hakbang para Pigilan ang Malware

Bagama't mas kaunting banta ang kinakaharap ng macOS kumpara sa Windows at Linux, dapat pa ring maging maingat ang mga user. Mahalagang mag-download lamang ng software mula sa mga mapagkakatiwalaang source, iwasan ang pag-install ng mga hindi na-verify na application at panatilihing na-update ang mga system gamit ang pinakabagong mga patch ng seguridad.

Kinilala ng Apple ang pagtaas ng macOS malware at, mas maaga sa buwang ito, inihayag ang isang update para sa paparating na bersyon ng operating system nito, ang Sequoia. Ang update na ito ay nagpapakilala ng mas mahigpit na mga hakbang para sa pagbubukas ng software na hindi wastong nilagdaan o notarized.

Sa macOS Sequoia, hindi na magagawa ng mga user na i-Control-click para i-bypass ang Gatekeeper para sa hindi na-verify na software. Sa halip, kakailanganin nilang mag-navigate sa Mga Setting ng System > Privacy at Seguridad upang suriin at aprubahan ang impormasyon sa seguridad para sa mga naturang application bago patakbuhin ang mga ito.