Złośliwe oprogramowanie na MacOS – Cthulhu Stealer

Prawdopodobnie Cthulhu Stealer opiera się na innym malware na macOS, o nazwie Atomic Stealer, jednak pobiera od kupujących usługę o połowę niższą kwotę – 500 USD miesięcznie w porównaniu z 1000 USD miesięcznie, których cyberprzestępcy żądają za Atomic. Szczegóły dotyczące stealera, który pojawił się po raz pierwszy pod koniec 2023 r., zostały opisane na blogu Cado Security.

Grupy stojące za Cthulhu i Atomic są odrębne, ale między stealerami występują znaczące podobieństwa. Atomic jest wyposażony w panel sterowania dla kupujących, podczas gdy Cthulhu nie ma takich udogodnień. Chociaż istnieją drobne różnice w docelowych lokalizacjach przechowywania plików, ostatnie wersje Atomic Stealer zawierają procedury szyfrowania do zaciemniania kodu, a inne wersje zawierają ładunki zakodowane w Base64.

Jednym z zauważalnych podobieństw między Cthulhu i Atomic jest użycie narzędzia wiersza poleceń macOS osascript do proszenia użytkownika o hasło w celu uzyskania dostępu do elementów przechowywanych w Keychain; błędy ortograficzne w kodzie również wydają się przeniesione z Atomic do Cthulhu.

W przeciwieństwie do Cthulhu, Atomic Stealer wydaje się aktywnie utrzymywany dzięki regularnym aktualizacjom i często wydawanym nowym wariantom.

Posty na stronie poświęconej cyberprzestępczości w marcu 2024 r. oskarżały Cthulhu o niepłacenie partnerom ich części pieniędzy skradzionych ofiarom poprzez wdrożenie MaaS, przy czym jeden partner twierdził, że operator jest mu winien 4500 USD.

Zaskakującym aspektem Cthulhu jest kwota, jaką grupie udało się ukraść poprzez wdrożenie stealera. W ogólnym rozrachunku złośliwego oprogramowania nie jest ona wysoka, ale pokazuje, że użytkownicy nadal mogą być zainfekowani. Wbudowane narzędzia bezpieczeństwa Maca, takie jak GateKeeper, powinny zapewnić podpisanie plików binarnych przy uruchamianiu, jednak może to zależeć od wersji systemu macOS, z której korzysta użytkownik.

Cthulhu Stealer inicjuje infekcję, podszywając się pod legalne oprogramowanie, w tym CleanMyMac, Adobe GenP i od dawna oczekiwaną grę Grand Theft Auto VI (która wciąż  nie została wydana).

Sam malware to obraz dysku Apple (DMG) napisany w GoLang, który nakazuje użytkownikowi otwarcie imitacji oprogramowania, a następnie wykorzystuje osascript, aby poprosić go o podanie hasła, stwierdzając, że jest to konieczne do zaktualizowania systemu i uruchomienia instalacji. Podanie hasła jest niezbędne do uzyskania dostępu do Keychain, ale nie do innych działań stealerów. Drugi monit o podanie hasła MetaMask użytkownika ma na celu uzyskanie dostępu do konkretnego portfela kryptowalut.

Infostealer wykorzystuje narzędzie kryminalistyczne typu open source Chainbreaker do wyodrębniania zawartości Keychain, pobiera dane IP za pomocą ipinfo.io i kopiuje informacje systemowe ofiary, przechowując skradzione dane w katalogu, który tworzy w ścieżce /Users/Shared/NW. Malware sprawdza również wiele magazynów plików pod kątem poświadczeń i portfeli kryptowalut, w tym z kont do gier takich jak Minecraft i Battlenet.

Ogółem złodziej atakuje ponad 20 różnych źródeł danych, między innymi:

• Browser Cookies,
• konta Telegram Tdata,
• konta Minecraft,
• hasła z Keychain,
• hasła z SafeStorage,
• dane z Battlenet,
• Firefox Cookies
• oraz dużą liczbę popularnych portfeli kryptowalutowych.

Cado Security zaleca użytkownikom systemu macOS włączenie wbudowanych funkcji bezpieczeństwa systemu takich jak Gatekeeper, bycie na bieżąco z poprawkami bezpieczeństwa od Apple i poszczególnych aplikacji, korzystanie z oprogramowania antywirusowego w celu zapewnienia dodatkowej ochrony i pobieranie oprogramowania wyłącznie ze sprawdzonych źródeł. Jak widzimy, są to proste i podstawowe praktyki, które na komputerach Mac powinny w większości przypadków wystarczyć, aby ustrzec się przez takimi zagrożeniami.