Posljednjih godina, uvjerenje da su macOS sistemi imuni na zlonamjerni softver sve se više dovodi u pitanje. S pojavom prijetnji kao što su Silver Sparrow, KeRanger i Atomic Stealer, korisnici macOS-a postaju sve svjesniji ranjivosti uKada korisnik montira DMG, od njega se traži da otvore softver, koji koristi osascript alat macOS komandne linije za traženje korisničke lozinke.
Nakon unosa svoje lozinke, od korisnika se dalje traži njihova MetaMask lozinka. Zlonamjerni softver kreira direktorij u /Users/Shared/NW za pohranu kredencijale u tekstualne datoteke. svojim sistemima.
Najnoviji dodatak ovoj rastućoj listi je Cthulhu Stealer, malware-as-a-service (MaaS) koji je identificirao Cado Security.
Dostupan za iznajmljivanje po cijeni od 500 USD mjesečno, ovaj zlonamjerni softver cilja korisnike macOS-a i ima za cilj krađu osjetljivih podataka. Ovaj članak se bavi radom Cthulhu Stealer-a, njegovim operaterima i implikacijama na sigurnost macOS-a.
Tehnička analiza Cthulhu Stealer-a
Cthulhu Stealer se distribuira kao Apple disk image (DMG) koji sadrži binarne datoteke za x86_64 i ARM arhitekture. Napisan na GoLangu, zlonamjerni softver se maskira kao legitiman softver.
Koristi Chainbreak za izbacivanje Keychain lozinki, pohranjujući ih u Keychain.txt. Ukradeni podaci se zatim arhiviraju u zip arhivu, a obavijest se šalje na server za naredbu i kontrolu (C2) kako bi upozorila operatere na nove zapise.
Zlonamjerni softver prikuplja informacije o sistemu, uključujući IP detalje, verziju OS-a i hardverske specifičnosti, te ih pohranjuje u tekstualne datoteke.
Lažno predstavljanje i krađa podataka
Cthulhu Stealer predstavlja slike diskova popularnog softvera kao što su CleanMyMac, Grand Theft Auto IV i Adobe GenP. Njegova primarna funkcija je krađa vjerodajnica i novčanika za kriptovalute iz različitih izvora, uključujući račune za igre.
Zlonamjerni softver provjerava instalacione fascikle u Biblioteci/Podrška za aplikacije/[prodavnica datoteka] i izbacuje njihov sadržaj u tekstualne datoteke.
Zlonamjerni softver cilja širok raspon podataka, uključujući kolačiće pretraživača, Coinbase i MetaMask novčanike i informacije o Telegram računu. Sveobuhvatna lista ukradenih podataka uključuje:
- Kolačići pretraživača
- Novčanici kriptovaluta (npr. MetaMask, Coinbase, Wasabi)
- Informacije o računu za igru (npr. BattleNet)
- Keychain i SafeStorage lozinke
Poređenje sa Atomic Stealer-om
Cthulhu Stealer dijeli sličnosti s Atomic Stealerom, još jednim infostealerom koji cilja na macOS. Oba su napisana na GoLang-u i koriste osascript za traženje lozinke od korisnika.
Atomic Stealer se prodaje za 1000 dolara mjesečno na Telegramu, a čini se da je programer Cthulhu Stealer-a možda modificirao Atomic Stealerov kod. Sličnosti u funkcionalnosti, pa čak i pravopisne greške ukazuju na blisku vezu između njih.
Operateri iza Cthulhu Stealer-a
Programeri i podružnice Cthulhu Stealer-a, poznati kao “Cthulhu Team”, rade prvenstveno putem Telegrama. Kradljivac se iznajmljuje za 500 dolara mjesečno, a podružnice dijele zaradu na osnovu uspješnosti implementacije.
Cado Security je pronašao Cthulhu Stealer na dva poznata tržišta zlonamjernog softvera, gdje se oglašava i komunicira.
U 2024., podružnice su podnijele žalbe protiv vodećeg operatera, “Cthulhu” ili “Balaclavv”, zbog neplaćanja. Optužbe za prevaru dovele su do Cthulhuove trajne zabrane ulaska na tržište.
Porast zlonamjernog softvera ciljanog na macOS poput Cthulhu Stealer-a naglašava važnost budnosti u sajber sigurnosti. Iako Cthulhu tim možda više nije aktivan, prijetnja za korisnike macOS-a ostaje.
Da bi se zaštitili od takvih prijetnji, korisnici bi trebali:
- Preuzmite softver samo iz pouzdanih izvora kao što je Apple App Store.
- Omogućite ugrađene sigurnosne funkcije macOS-a, kao što je Gatekeeper.
- Održavajte sisteme i aplikacije ažuriranim najnovijim sigurnosnim zakrpama.
- Razmislite o korištenju renomiranih antivirusnih softvera za dodatnu zaštitu.
Informisanim i poduzimanjem proaktivnih mjera, korisnici macOS-a mogu značajno smanjiti rizik da postanu žrtve zlonamjernog softvera i osigurati da njihovi sistemi ostanu sigurni.
Izvor: CyberSecurityNews
