Cthulhu Stealer
Дослідники з кібербезпеки виявили нове шкідливе програмне забезпечення для крадіжки інформації, спеціально розроблене для систем Apple macOS, підкреслюючи зростаючу тенденцію, коли зловмисники більше зосереджуються на цій операційній системі. Зловмисне програмне забезпечення під назвою Cthulhu Stealer пропонується як частина пакету Malware-as-a-Service (MaaS) з кінця 2023 року за ціною 500 доларів на місяць. Він здатний атакувати як x86_64, так і архітектуру Arm.
Cthulhu Stealer поширюється як образ диска Apple (DMG), що містить два двійкові файли, адаптовані для різних архітектур. Написане мовою Golang, зловмисне програмне забезпечення маскується під законне програмне забезпечення. Серед програм, які він імітує, CleanMyMac, Grand Theft Auto IV і Adobe GenP, остання є інструментом з відкритим кодом, який використовується для обходу процесу активації Adobe Creative Cloud.
Зміст
Викрадач Ктулху збирає конфіденційні дані та облікові дані
Користувачам, які вирішують запустити непідписаний файл — після ручного обходу засобів захисту Gatekeeper — буде запропоновано ввести свій системний пароль. Цю техніку, засновану на сценарії, також використовували інші шкідливі програми, такі як Atomic Stealer, Cuckoo , MacStealer і Banshee Stealer .
Після цього користувачам пропонується ввести свій пароль MetaMask. Cthulhu Stealer додатково обладнано для збору системної інформації та вилучення паролів iCloud Keychain за допомогою інструменту з відкритим кодом під назвою Chainbreaker.
Зібрані дані, включаючи файли cookie веб-браузера та інформацію про обліковий запис Telegram, потім стискаються в архів ZIP і надсилаються на сервер командування та управління (C2) для викрадання.
Аналіз можливостей викрадача Ктулху
Основною функцією Cthulhu Stealer є збір облікових даних і криптовалютних гаманців з різних джерел, включаючи ігрові облікові записи. Його функції дуже схожі на Atomic Stealer, що свідчить про те, що розробник Cthulhu Stealer міг змінити код Atomic Stealer. Обидва використовують osascript, щоб запитувати у користувачів їхні паролі, навіть мають однакові орфографічні помилки.
Повідомляється, що група, яка стоїть за цією шкідливою програмою, більше не працює, частково через суперечки щодо платежів, що призвело до звинувачень афілійованих осіб у шахрайстві щодо виходу. Це призвело до того, що основного розробника назавжди забанили на ринку кіберзлочинності, де рекламувався крадій.
Викрадач Ктулху не є особливо складним, йому бракує передових методів антианалізу, які дозволили б йому працювати непомітно. Крім того, він не має жодних відмінних можливостей, які б відрізняли його від інших подібних інструментів на підпільному ринку.
Apple впроваджує додаткові кроки для запобігання зловмисному програмному забезпеченню
Хоча macOS стикається з меншою кількістю загроз порівняно з Windows і Linux, користувачі все одно повинні бути обережними. Дуже важливо завантажувати програмне забезпечення лише з перевірених джерел, уникати встановлення неперевірених програм і постійно оновлювати системи за допомогою останніх патчів безпеки.
Apple визнала зростання кількості зловмисних програм для macOS і на початку цього місяця оголосила про оновлення майбутньої версії операційної системи Sequoia. Це оновлення запроваджує суворіші заходи щодо відкриття програмного забезпечення, яке не має належного підпису чи нотаріального засвідчення.
У macOS Sequoia користувачі більше не зможуть обійти Gatekeeper для неперевіреного програмного забезпечення. Натомість їм потрібно буде перейти до «Параметрів системи» > «Конфіденційність і безпека», щоб переглянути та підтвердити інформацію про безпеку для таких програм перед їх запуском.
