Οι ερευνητές κυβερνοασφάλειας της Cado Security εντόπισαν ένα νέο κακόβουλο λογισμικό ως υπηρεσία (MaaS) που στοχεύει χρήστες macOS και κατόχους κρυπτονομισμάτων.
Ο νέο κακόβουλο λογισμικό macOS με την ονομασία “Cthulhu Stealer” εντοπίστηκε για πρώτη φορά στα τέλη του 2023 και πωλείται ως υπηρεσία στο dark web για 500 $ το μήνα.
Η κύρια λειτουργία αυτού του κακόβουλου κακόβουλου λογισμικού είναι να εξάγει ευαίσθητες πληροφορίες από μολυσμένους Mac όπως cookie προγράμματος περιήγησης, κωδικούς πρόσβασης συστήματος, αποθηκευμένους κωδικούς πρόσβασης από το iCloud Keychain, πορτοφόλια κρυπτονομισμάτων από διάφορα καταστήματα, συμπεριλαμβανομένων λογαριασμών παιχνιδιών, πληροφορίες προγράμματος περιήγησης ιστού, ακόμη και πληροφορίες λογαριασμού Telegram Tdata.
PIAVPN | Το #1 Πιο Έμπιστο VPN Στην Ελλάδα | Απόκτησε 2 έτη + 4 μήνες δωρεάν με 1.85€/μήνα
Διαβάστε επίσης :Χρησιμοποίησα macOS για χρόνια. Να γιατί προτιμώ το Ubuntu
Το Cthulhu Stealer είναι μια εικόνα δίσκου Apple (DMG) σε πακέτο με δύο δυαδικά αρχεία σχεδιασμένα για αρχιτεκτονικές x86_64 και ARM. Είναι γραμμένο σε GoLang και μεταμφιέζεται ως νόμιμο λογισμικό, μιμούμενο δημοφιλείς εφαρμογές όπως το CleanMyMac, το Grand Theft Auto VI και το Adobe GenP, έγραψε η ερευνήτρια Cato Security Tara Gould σε ένα πρόσφατη αναφορά Cado Security.
Μόλις ο χρήστης προσαρτήσει το αρχείο dmg, ζητείται από τον χρήστη να ανοίξει το λογισμικό. Αφού ανοίξει το αρχείο, το osascript, ζητείται από τον χρήστη να εισαγάγει τον κωδικό πρόσβασης του συστήματός του μέσω του εργαλείου γραμμής εντολών του macOS, το οποίο εκτελεί AppleScript και JavaScript.
Αφού εισαγάγετε τον αρχικό κωδικό πρόσβασης, μια δεύτερη ερώτηση ζητά τον κωδικό πρόσβασης MetaMask του χρήστη. Στη συνέχεια, δημιουργεί έναν κατάλογο στο ‘/Users/Shared/NW’ για την αποθήκευση κλεμμένων διαπιστευτηρίων σε αρχεία κειμένου.
Το κακόβουλο λογισμικό έχει επίσης σχεδιαστεί για να απορρίπτει τους κωδικούς πρόσβασης του iCloud Keychain στο Keychain.txt χρησιμοποιώντας ένα εργαλείο ανοιχτού κώδικα που ονομάζεται Chainbreak. Τα κλεμμένα δεδομένα συμπιέζονται και αποθηκεύονται σε ένα αρχείο αρχειοθέτησης ZIP, μετά το οποίο διοχετεύονται σε έναν διακομιστή εντολών και ελέγχου (C2) που ελέγχεται από τους εισβολείς.
Μόλις το κακόβουλο λογισμικό Cthulhu Stealer αποκτήσει πρόσβαση, δημιουργεί έναν κατάλογο στο ‘/Users/Shared/NW’ με τα κλεμμένα διαπιστευτήρια αποθηκευμένα σε αρχεία κειμένου. Στη συνέχεια, προχωρά στη λήψη δακτυλικών αποτυπωμάτων στο σύστημα του θύματος, συλλέγοντας πληροφορίες, συμπεριλαμβανομένων της διεύθυνσης IP, του ονόματος συστήματος, της έκδοσης του λειτουργικού συστήματος, του υλικού και των πληροφοριών λογισμικού.
«Η λειτουργικότητα και τα χαρακτηριστικά του Cthulhu Stealer μοιάζουν πολύ με το Atomic Stealer, υποδεικνύοντας ότι ο προγραμματιστής του Cthulhu Stealer πιθανότατα πήρε το Atomic Stealer και τροποποίησε τον κώδικα. Η χρήση του osascript για να ζητήσει από τον χρήστη τον κωδικό πρόσβασής του είναι παρόμοια στο Atomic Stealer και στο Cthulhu, ακόμη και στα ίδια ορθογραφικά λάθη», πρόσθεσε η αναφορά.
Ωστόσο, οι αναφορές δείχνουν ότι οι παράγοντες απειλών πίσω από το Cthulhu Stealer μπορεί να έχουν σταματήσει τις δραστηριότητές τους, σύμφωνα με πληροφορίες λόγω διαφωνιών πληρωμών και κατηγοριών για απατεώνες ή συμμετοχή σε απάτη εξόδου. Αυτό οδήγησε σε μόνιμη απαγόρευση από την αγορά όπου προωθήθηκε το κακόβουλο λογισμικό.
Παρόλο που το macOS θεωρείται από καιρό ένα ασφαλές σύστημα, το κακόβουλο λογισμικό που στοχεύει χρήστες Mac παραμένει μια αυξανόμενη ανησυχία για την ασφάλεια. Για την προστασία από πιθανές απειλές στον κυβερνοχώρο, συνιστάται στους χρήστες να κατεβάζουν πάντα λογισμικό από αξιόπιστες πηγές, να ενεργοποιούν τις ενσωματωμένες λειτουργίες ασφαλείας του macOS, όπως το Gatekeeper, να ενημερώνουν το σύστημα και τις εφαρμογές με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας και να χρησιμοποιούν αξιόπιστο λογισμικό προστασίας από ιούς. παρέχουν ένα επιπλέον στρώμα προστασίας.
