Cthulhu Hırsızı
Siber güvenlik araştırmacıları, özellikle Apple macOS sistemlerini hedef almak üzere tasarlanmış yeni bir bilgi çalma kötü amaçlı yazılımı tespit ederek, tehdit aktörlerinin bu işletim sistemine daha fazla odaklandığı büyüyen bir eğilimi vurguladı. Cthulhu Stealer adlı kötü amaçlı yazılım, 2023'ün sonlarından bu yana aylık 500 dolara bir Malware-as-a-Service (MaaS) paketinin parçası olarak sunuluyor. Hem x86_64 hem de Arm mimarilerine saldırabilir.
Cthulhu Stealer, farklı mimariler için uyarlanmış iki ikili dosya içeren bir Apple disk görüntüsü (DMG) olarak dağıtılır. Golang'da yazılan kötü amaçlı yazılım, meşru yazılım gibi görünür. Taklit ettiği yazılım programları arasında CleanMyMac, Grand Theft Auto IV ve Adobe GenP bulunur; ikincisi, Adobe Creative Cloud'un etkinleştirme sürecini atlatmak için kullanılan açık kaynaklı bir araçtır.
İçindekiler
Cthulhu Hırsızı Hassas Verileri ve Kimlik Bilgilerini Topluyor
İmzalanmamış dosyayı başlatmayı seçen kullanıcılardan (Gatekeeper korumalarını manuel olarak aştıktan sonra) sistem parolalarını girmeleri istenir. Bir betiğe dayanan bu teknik, Atomic Stealer, Cuckoo , MacStealer ve Banshee Stealer gibi diğer kötü amaçlı yazılımlar tarafından da kullanılmıştır.
Bunun ardından kullanıcılardan MetaMask parolalarını girmeleri istenir. Cthulhu Stealer, Chainbreaker adlı açık kaynaklı bir araç kullanarak sistem bilgilerini toplamak ve iCloud Keychain parolalarını çıkarmak için daha da donanımlıdır.
Toplanan veriler, web tarayıcısı çerezleri ve Telegram hesap bilgilerini de kapsayacak şekilde sıkıştırılıyor ve sızdırılmak üzere bir Komuta ve Kontrol (C2) sunucusuna gönderiliyor.
Cthulhu Hırsızının Yeteneklerinin Analizi
Cthulhu Stealer'ın birincil işlevi, oyun hesapları da dahil olmak üzere çeşitli kaynaklardan kimlik bilgileri ve kripto para cüzdanları toplamaktır. Özellikleri Atomic Stealer'ın özelliklerine çok benzemektedir ve bu da Cthulhu Stealer'ın geliştiricisinin Atomic Stealer'ın kodunu değiştirmiş olabileceğini düşündürmektedir. Her ikisi de kullanıcıları parolalarını sormak için osascript kullanır, hatta aynı yazım hatalarını paylaşırlar.
Bu kötü amaçlı yazılımın arkasındaki grubun, kısmen ödemeler konusunda anlaşmazlıklar nedeniyle artık aktif olmadığı ve iştirakçiler tarafından bir çıkış dolandırıcılığı suçlamalarına yol açtığı bildirildi. Bu, ana geliştiricinin, hırsızın reklamının yapıldığı siber suç pazarından kalıcı olarak yasaklanmasıyla sonuçlandı.
Cthulhu Stealer özellikle sofistike değildir, gizlice çalışmasına izin verecek gelişmiş anti-analiz tekniklerinden yoksundur. Ayrıca, yeraltı pazarındaki diğer benzer araçlardan onu ayıran herhangi bir ayırt edici yeteneğe sahip değildir.
Apple Kötü Amaçlı Yazılımları Önlemek İçin Ek Adımlar Uyguluyor
macOS, Windows ve Linux'a kıyasla daha az tehdit ile karşı karşıya olsa da, kullanıcılar yine de dikkatli olmalıdır. Yazılımları yalnızca saygın kaynaklardan indirmek, doğrulanmamış uygulamaları yüklemekten kaçınmak ve sistemleri en son güvenlik yamalarıyla güncel tutmak çok önemlidir.
Apple, macOS kötü amaçlı yazılımlarındaki artışı kabul etti ve bu ayın başlarında yaklaşan işletim sistemi sürümü Sequoia için bir güncelleme duyurdu. Bu güncelleme, düzgün bir şekilde imzalanmamış veya noter tasdikli olmayan yazılımları açmak için daha katı önlemler getiriyor.
macOS Sequoia'da kullanıcılar artık doğrulanmamış yazılımlar için Gatekeeper'ı atlatmak üzere Control tuşuna basarak tıklayamayacak. Bunun yerine, bu tür uygulamaları çalıştırmadan önce güvenlik bilgilerini incelemek ve onaylamak için Sistem Ayarları > Gizlilik ve Güvenlik'e gitmeleri gerekecek.
