Η ανακάλυψη της Cado Security καταρρίπτει πλήρως την πεποίθηση ότι τα συστήματα macOS είναι άτρωτα από κακόβουλο λογισμικό. Αυτή η αποκάλυψη αφορά ένα νέο κακόβουλο λογισμικό-ως-υπηρεσία (MaaS) με την ονομασία “Cthulhu Stealer”, το οποίο στοχεύει χρήστες macOS μέσω παραπλανητικών μεθόδων.
Σύμφωνα με το Be In Crypto, η άνοδος του Cthulhu Stealer δείχνει ότι κανένα σύστημα δεν είναι απόλυτα ασφαλές απέναντι σε διαδικτυακές απειλές.
Το Cthulhu Stealer μεταμφιέζεται ως νόμιμες εφαρμογές, όπως το CleanMyMac και το Adobe GenP, αλλά και ως λογισμικό που ισχυρίζεται ότι είναι πρώιμη έκδοση του “Grand Theft Auto VI.”
Αφού ο χρήστης εγκαταστήσει το κακόβουλο DMG αρχείο, καλείται να εισαγάγει τους κωδικούς πρόσβασης του συστήματος και του MetaMask. Αυτή η αρχική παραπλάνηση είναι μόνο η αρχή.
Μετά την εισαγωγή των διαπιστευτηρίων, το κακόβουλο λογισμικό χρησιμοποιεί το osascript, ένα εργαλείο του macOS, για να εξάγει κωδικούς από το Keychain του συστήματος.
Αυτά τα δεδομένα, συμπεριλαμβανομένων των λεπτομερειών από κρυπτονομίσματα όπως MetaMask, Coinbase και Binance, συγκεντρώνονται σε ένα αρχείο zip.
Το αρχείο αυτό, το οποίο αναγνωρίζεται από τον κωδικό χώρας του χρήστη και την ώρα της επίθεσης, περιέχει τις κλεμμένες πληροφορίες.
Το Cthulhu Stealer κλέβει επίσης δεδομένα από άλλες πλατφόρμες, όπως πορτοφόλια Chrome extension, πληροφορίες χρηστών Minecraft, πορτοφόλια Wasabi, κωδικούς Keychain, κωδικούς Safe Storage, δεδομένα cache και log από παιχνίδια Battle.net, cookies από Firefox, πληροφορίες λογαριασμών Trust wallet, Blockchain wallet, XDeFi wallet, cookies περιηγητών, πληροφορίες λογαριασμού Telegram Tdata, κ.λπ.
Επιπλέον, το Cthulhu Stealer συλλέγει λεπτομερείς πληροφορίες του συστήματος, όπως τη διεύθυνση IP, το όνομα του συστήματος και την έκδοση του λειτουργικού συστήματος. Στη συνέχεια, αποστέλλει αυτά τα δεδομένα σε έναν διακομιστή εντολών και ελέγχου (C2), επιτρέποντας στους επιτιθέμενους να βελτιστοποιήσουν τις στρατηγικές τους.
Οι απατεώνες χρησιμοποιούν διάφορες στρατηγικές για να παγιδεύσουν τα θύματά τους ώστε να εγκαταστήσουν το κακόβουλο λογισμικό.
Για παράδειγμα, στα κοινωνικά μέσα, κάποιοι απατεώνες προσποιούνται ότι είναι εργοδότες που προσφέρουν δουλειές που απαιτούν τη λήψη λογισμικού για την παρακολούθηση των ωρών εργασίας.
Αυτές οι προσφορές συνοδεύονται από αίσθηση επείγοντος, πιέζοντας το πιθανό θύμα να κατεβάσει γρήγορα την εφαρμογή.
Οι προγραμματιστές και οι συνεργάτες πίσω από το Cthulhu Stealer, γνωστοί ως η ομάδα Cthulhu, χρησιμοποιούν το Telegram για τη διαχείριση των επιχειρήσεών τους.
«Το stealer φαίνεται να ενοικιάζεται σε άτομα για $500/μήνα, με τον κύριο προγραμματιστή να πληρώνει ένα ποσοστό των κερδών στους συνεργάτες του με βάση την ανάπτυξή του. Κάθε συνεργάτης του stealer είναι υπεύθυνος για την ανάπτυξη του κακόβουλου λογισμικού. Η Cado έχει βρει το Cthulhu stealer να πωλείται σε δύο γνωστές αγορές κακόβουλου λογισμικού που χρησιμοποιούνται για επικοινωνία, διαιτησία και διαφήμιση του stealer, μαζί με το Telegram,» ενημέρωσε η Cado.
Για να προστατευθούν, οι χρήστες θα πρέπει να εγκαταστήσουν αξιόπιστο λογισμικό antivirus που είναι ειδικά σχεδιασμένο για macOS.
Πρέπει επίσης να είναι προσεκτικοί σε προσφορές εργασίας που απαιτούν άμεση λήψη λογισμικού. Οι τακτικές ενημερώσεις λογισμικού μπορούν επίσης να μειώσουν τον κίνδυνο μολύνσεων από κακόβουλο λογισμικό.
