Posljednjih mjeseci, korisnici macOS-a suočili su se sa značajnim porastom napada malvera koji kradu lozinke.
Ove prijetnje, koje se često distribuišu putem malicioznog oglašavanja i lažnih instalatera aplikacija , postaju sve sofisticiranije.
Tri istaknuta tipa malicioznog softvera, “Atomic Stealer”, “Poseidon Stealer” i “Cthulhu Stealer” su na čelu ovog porasta.
Dok su bezbjednosni analitičari u jedinici Palo Alto Networks42 primijetili da svaki stealer dolazi sa jedinstvenim metodama rada i distribucije.
Analiza stealer-a
Atomic Stealer : Atomic Stealer, također poznat kao AMOS, prvi put je otkriven u aprilu 2023. Prodaje se kao malware-as-a-service (MaaS) na hakerskim forumima i Telegramu.
Maliciozni softver je evoluirao kroz nekoliko verzija, prvobitno napisanih u Go, a kasnije u C++. Neke verzije uključuju Python skripte ili Mach-O binarne datoteke.
Atomic Stealer se prvenstveno distribuiše putem malicioznog oglašavanja i cilja na osjetljive podatke kao što su lozinke pretraživača, novčanici kriptovaluta i podaci za trenutne poruke.
Tok izvršenja Atomic Stealer-a:-
Atomic Stealer se maskira kao legitiman instalacioni fajl. Pokušava pristupiti datotekama poput /Users/$USER/Library/Application Support/Google/Chrome/Default/Login Data, koji pohranjuje kredencijale za prijavu na Google Chrome.
.webp)
Poseidon Stealer : Poseidon Stealer reklamira “Rodrigo4”, navodno bivši programer Atomic Stealer-a. Distribuiše se putem trojaniziranih instalatera koji oponašaju legitimne aplikacije, često putem Google oglasa i malicioznih e-poruka . Malicioznih softver koristi kodirani AppleScript za izvršavanje svoje glavne logike, podstičući žrtve da unose lozinke tokom instalacije.
Operacija stealer Posejdona:-
Nakon instalacije, Poseidon Stealer traži od korisnika dijaloški okvir da dobije svoju lozinku. Krade lozinke pretraživača, novčanike za kriptovalute, bilješke iz macOS Notes-a i podatke Telegrama, šaljući ove informacije serverima pod kontrolom napadača.
.webp)
Cthulhu Stealer : Cthulhu Stealer je još jedna istaknuta prijetnja, koju putem Telegrama prodaje “Cthulhu tim”. Napisan je u Go-u i distribuisana putem instalatera malicioznih aplikacija.
Cthulhu Stealer cilja na širok spektar podataka, uključujući kredencijala preglednika, novčanike kriptovaluta i datoteke sa specifičnim ekstenzijama kao što su .png, .jpg, i .pdf.
Pogubljenje stealer Cthulhua:-
Cthulhu Stealer koristi lažne dijaloške okvire za traženje lozinki, uključujući i MetaMask lozinku. Pohranjuje ukradene podatke u /Users/Shared/NWdirektorij i učitava ih na server za komandu i kontrolu.
.webp)
Za borbu protiv ovih prijetnji, organizacije bi trebale implementirati napredne alate za otkrivanje kao što je Cortex XDR, koji nudi analitiku za preuzimanje akreditiva i krađu osjetljivih informacija.
Ovi alati nadziru neobična izvršavanja AppleScript-a i osjetljiv pristup datotekama, pomažući u identifikaciji malicioznih aktivnosti.
Implementacija višeslojnih odbrambenih strategija i informisanje o najnovijim prijetnjama ključni su koraci u zaštiti osjetljivih informacija.
Izvor: CyberSecurityNews
