Кібербезпекові дослідники виявили новий інформаційний стілер, розроблений для атак на macOS-пристрої. Шкідливий софт, який отримав назву Cthulhu Stealer, збирає широкий спектр даних з пристроїв Apple, що вказує на зростаючу увагу кіберзлочинців до операційної системи macOS. Це підкреслює важливість безпеки в екосистемі Apple, яка раніше вважалася більш захищеною від шкідливого ПЗ у порівнянні з Windows.
Огляд шкідливого ПЗ
Cthulhu Stealer доступний у вигляді “шкідливого ПЗ як послуга” (MaaS) за $500 на місяць з кінця 2023 року. Цей зловмисний софт здатний працювати на двох основних архітектурах – x86_64 і Arm, що робить його універсальним для широкого спектру пристроїв macOS.
Основна мета Cthulhu Stealer – викрадення конфіденційних даних користувачів, включаючи паролі, облікові дані криптогаманців, системну інформацію та дані з iCloud Keychain. Як повідомляють дослідники з Cato Security, шкідливий софт поширюється у вигляді образу диска (DMG) з двома виконуваними файлами, залежно від архітектури. Програма написана на Golang і маскується під легітимні програми.
Серед програм, під які маскується Cthulhu Stealer, є популярні утиліти, такі як CleanMyMac, гра Grand Theft Auto IV та Adobe GenP – інструмент для активації програм Adobe без серійного ключа. Це робить шкідливе ПЗ привабливим для користувачів, які можуть випадково встановити його, думаючи, що завантажують легальне ПЗ.
Як працює Cthulhu Stealer?
Користувачі, які запускають непідписаний файл після явного дозволу його виконання, обходячи захист Gatekeeper, стикаються з діалоговим вікном, яке просить ввести системний пароль. Цей метод, заснований на osascript, використовується й іншими шкідливими програмами для macOS, такими як Atomic Stealer, Cuckoo, MacStealer і Banshee Stealer.
Наступним етапом атаки є запит паролю від криптогаманця MetaMask. Cthulhu Stealer також призначений для збору системної інформації та крадіжки паролів з iCloud Keychain за допомогою відкритого інструменту Chainbreaker.
Зібрані дані включають файли cookie з веб-браузерів, облікові дані Telegram, паролі та іншу конфіденційну інформацію. Після цього всі ці дані упаковуються в ZIP-архів і відправляються на командно-контрольний сервер (C2).
Поточна ситуація з Cthulhu Stealer
Хоча розробники цього шкідливого ПЗ більше неактивні через конфлікти з афілійованими особами та звинувачення у шахрайстві, Cthulhu Stealer залишається активною загрозою. Нестача технік антианалізу робить його менш складним, але це не зменшує його небезпеку для користувачів macOS.
Як захиститися від Cthulhu Stealer?
Незважаючи на те, що загрози для macOS менш поширені, ніж для Windows і Linux, користувачам Apple слід бути обережними. Щоб уникнути зараження шкідливим ПЗ, варто завантажувати програми лише з перевірених джерел і уникати встановлення незатверджених програм. Крім того, слід регулярно оновлювати систему та програмне забезпечення.
Apple також реагує на зростання загроз для macOS. Наприклад, у новій версії macOS Sequoia передбачається додатковий рівень захисту. Користувачі більше не зможуть обійти Gatekeeper за допомогою Control-click для запуску програмного забезпечення, яке не було підписано або затверджено. Замість цього їм доведеться перейти до System Settings > Privacy & Security, щоб переглянути інформацію про безпеку перед запуском такого ПЗ.
Висновок
Cthulhu Stealer – ще один приклад того, як кіберзлочинці все частіше орієнтуються на користувачів macOS. Незважаючи на свою відносну простоту, він становить серйозну загрозу для конфіденційності та безпеки користувачів. Для мінімізації ризиків користувачі повинні бути уважними до того, яке програмне забезпечення вони встановлюють, та постійно стежити за оновленнями безпеки від Apple.
P.S. Можливо, вам буде також цікаво дізнатись про ValleyRAT: Загроза для користувачів, що говорять китайською.




