TDR:
Nowe złośliwe oprogramowanie dla systemu macOS „Cthulhu Stealer” atakuje dane użytkowników Apple
Podszywa się pod legalne oprogramowanie, takie jak CleanMyMac i Adobe GenP
Kradnie portfele kryptowalutowe, hasła i inne poufne informacje
Dostępne jako usługa malware za 500 USD miesięcznie
Apple planuje zaostrzyć zabezpieczenia Gatekeeper w systemie macOS Sequoia
Badacze cyberbezpieczeństwa zidentyfikowali nowy szczep złośliwego oprogramowania atakującego system operacyjny macOS firmy Apple. Nazwany „Cthulhu Stealer”, ten złośliwy program stanowi poważne zagrożenie dla danych osobowych i zasobów cyfrowych użytkowników komputerów Mac.
Cthulhu Stealer pojawił się po raz pierwszy pod koniec 2023 roku i był dostępny w darknecie jako usługa typu malware-as-a-service (MaaS) w cenie 500 USD miesięcznie.
Ten model biznesowy umożliwia wielu złoczyńcom wdrażanie złośliwego oprogramowania na niczego niepodejrzewających właścicielach komputerów Mac.
Malware podszywa się pod popularne oprogramowanie, aby oszukać użytkowników i zmusić ich do instalacji. Typowe kamuflaże to CleanMyMac, Grand Theft Auto IV i Adobe GenP. Jest dystrybuowany jako plik obrazu dysku Apple (DMG), który na pierwszy rzut oka wydaje się legalny.
Gdy użytkownicy próbują otworzyć fałszywą aplikację, wbudowana funkcja bezpieczeństwa systemu macOS, Gatekeeper, ostrzega, że oprogramowanie jest niepodpisane.
Jeśli jednak użytkownik zdecyduje się ominąć to ostrzeżenie, malware natychmiast zażąda hasła systemowego, imitując legalny monit systemowy. Tę technikę zaobserwowano w innych malware na Maca, takich jak Atomic Stealer i MacStealer.
Po udzieleniu niezbędnych uprawnień Cthulhu Stealer może uzyskać dostęp i ukraść szeroki zakres poufnych danych. Ma na celu popularne portfele kryptowalut, w tym MetaMask, Coinbase, Wasabi, Electrum, Atomic, Binance i Blockchain Wallet.
Szkodliwe oprogramowanie zbiera również zapisane hasła z pęku kluczy iCloud, informacje z przeglądarki internetowej, a nawet dane z kont Telegram.
Cthulhu Stealer jest w stanie atakować zarówno architekturę x86_64, jak i Arm, co czyni go wszechstronnym zagrożeniem dla różnych modeli komputerów Mac. Wykorzystuje różne techniki do zbierania informacji o systemie, w tym adres IP i wersję systemu operacyjnego.
Skradzione dane są kompresowane i przechowywane w pliku archiwum ZIP, a następnie przesyłane na serwer dowodzenia i kontroli (C2) kontrolowany przez atakujących.
Tego rodzaju kradzież danych naraża użytkowników na ryzyko strat finansowych, kradzieży tożsamości i innych form cyberprzestępstw.
Mimo że Cthulhu Stealer nie jest uważany za szczególnie wyrafinowany i brakuje mu zaawansowanych technik antyanalizy, nadal stanowi poważne zagrożenie ze względu na szerokie możliwości gromadzenia danych.
Podobieństwo złośliwego oprogramowania do wcześniej zidentyfikowanych zagrożeń, takich jak Atomic Stealer, sugeruje, że cyberprzestępcy aktywnie dostosowują i udoskonalają swoje narzędzia, aby atakować użytkowników systemu macOS.
W odpowiedzi na rosnące zagrożenie ze strony złośliwego oprogramowania firma Apple ogłosiła plany wzmocnienia środków bezpieczeństwa w nadchodzącym systemie macOS Sequoia.
Aktualizacja utrudni użytkownikom omijanie zabezpieczeń Gatekeeper, wymagając od nich przejścia do Ustawień systemowych w celu sprawdzenia informacji o zabezpieczeniach, zanim zezwolą na uruchomienie niepodpisanego oprogramowania.
Aby zapewnić sobie ochronę przed zagrożeniami, takimi jak Cthulhu Stealer, eksperci ds. cyberbezpieczeństwa zalecają użytkownikom komputerów Mac pobieranie oprogramowania wyłącznie z zaufanych źródeł, takich jak App Store lub oficjalne strony deweloperów.
Użytkownicy powinni zachować ostrożność w przypadku aplikacji, które podczas instalacji żądają podania hasła systemowego. Należy również zadbać o to, aby system operacyjny był aktualizowany najnowszymi poprawkami zabezpieczeń firmy Apple.
Artykuł Cthulhu Stealer: Nowe złośliwe oprogramowanie dla systemu macOS zagraża danym użytkowników i portfelom kryptowalut ukazał się po raz pierwszy na Blockonomi.