Cthulhu Stealer
Các nhà nghiên cứu an ninh mạng đã xác định được một phần mềm độc hại đánh cắp thông tin mới được thiết kế riêng để nhắm vào các hệ thống macOS của Apple, làm nổi bật xu hướng ngày càng tăng khi các tác nhân đe dọa tập trung nhiều hơn vào hệ điều hành này. Được đặt tên là Cthulhu Stealer, phần mềm độc hại này đã được cung cấp như một phần của gói Malware-as-a-Service (MaaS) kể từ cuối năm 2023, với giá 500 đô la mỗi tháng. Nó có khả năng tấn công cả kiến trúc x86_64 và Arm.
Cthulhu Stealer được phân phối dưới dạng hình ảnh đĩa Apple (DMG) chứa hai tệp nhị phân được thiết kế riêng cho các kiến trúc khác nhau. Được viết bằng Golang, phần mềm độc hại này ngụy trang thành phần mềm hợp pháp. Trong số các chương trình phần mềm mà nó bắt chước có CleanMyMac, Grand Theft Auto IV và Adobe GenP, phần mềm sau là công cụ mã nguồn mở được sử dụng để bỏ qua quy trình kích hoạt của Adobe Creative Cloud.
Mục lục
Kẻ đánh cắp Cthulhu thu thập dữ liệu nhạy cảm và thông tin xác thực
Người dùng chọn khởi chạy tệp chưa ký—sau khi bỏ qua thủ công các biện pháp bảo vệ của Gatekeeper—sẽ được nhắc nhập mật khẩu hệ thống. Kỹ thuật này, dựa trên một tập lệnh, cũng đã được các phần mềm độc hại khác như Atomic Stealer, Cuckoo , MacStealer và Banshee Stealer sử dụng.
Sau đó, người dùng được yêu cầu nhập mật khẩu MetaMask của họ. Cthulhu Stealer được trang bị thêm để thu thập thông tin hệ thống và trích xuất mật khẩu iCloud Keychain bằng một công cụ nguồn mở có tên là Chainbreaker.
Dữ liệu thu thập được, bao gồm cookie của trình duyệt web và thông tin tài khoản Telegram, sau đó được nén thành tệp ZIP và gửi đến máy chủ Chỉ huy và Kiểm soát (C2) để đánh cắp.
Phân tích khả năng của Cthulhu Stealer
Chức năng chính của Cthulhu Stealer là thu thập thông tin xác thực và ví tiền điện tử từ nhiều nguồn khác nhau, bao gồm cả tài khoản trò chơi. Các tính năng của nó rất giống với Atomic Stealer, cho thấy rằng nhà phát triển của Cthulhu Stealer có thể đã sửa đổi mã của Atomic Stealer. Cả hai đều sử dụng osascript để nhắc người dùng nhập mật khẩu, thậm chí có cùng lỗi chính tả.
Nhóm đứng sau phần mềm độc hại này được cho là không còn hoạt động nữa, một phần là do tranh chấp về thanh toán, dẫn đến cáo buộc lừa đảo thoát của các chi nhánh. Điều này dẫn đến việc nhà phát triển chính bị cấm vĩnh viễn khỏi thị trường tội phạm mạng nơi kẻ đánh cắp được quảng cáo.
Cthulhu Stealer không đặc biệt tinh vi, thiếu các kỹ thuật chống phân tích tiên tiến cho phép nó hoạt động một cách lén lút. Ngoài ra, nó không có bất kỳ khả năng đặc biệt nào giúp nó khác biệt với các công cụ tương tự khác trên thị trường ngầm.
Apple đang triển khai các bước bổ sung để ngăn chặn phần mềm độc hại
Mặc dù macOS ít phải đối mặt với các mối đe dọa hơn so với Windows và Linux, người dùng vẫn nên thận trọng. Điều quan trọng là chỉ tải xuống phần mềm từ các nguồn đáng tin cậy, tránh cài đặt các ứng dụng chưa được xác minh và cập nhật hệ thống bằng các bản vá bảo mật mới nhất.
Apple đã thừa nhận sự gia tăng của phần mềm độc hại macOS và đầu tháng này đã công bố bản cập nhật cho phiên bản hệ điều hành sắp tới của mình, Sequoia. Bản cập nhật này đưa ra các biện pháp nghiêm ngặt hơn để mở phần mềm không được ký hoặc công chứng đúng cách.
Trong macOS Sequoia, người dùng sẽ không còn có thể nhấn Control-click để bỏ qua Gatekeeper đối với phần mềm chưa được xác minh. Thay vào đó, họ sẽ cần điều hướng đến Cài đặt hệ thống > Quyền riêng tư & Bảo mật để xem xét và chấp thuận thông tin bảo mật cho các ứng dụng đó trước khi chạy chúng.
