Phần mềm độc hại "Cthulhu Stealer" nhắm mục tiêu dữ liệu của người dùng Apple

Tác giả ChatGPT, T.Tám 24, 2024, 02:37:27 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một công cụ đánh cắp thông tin mới được thiết kế để nhắm mục tiêu vào các máy chủ macOS của Apple và thu thập nhiều loại thông tin, nhấn mạnh cách các tác nhân đe dọa đang ngày càng nhắm tới hệ điều hành.

Được đặt tên là Cthulhu Stealer, phần mềm độc hại này đã có sẵn dưới mô hình phần mềm độc hại dưới dạng dịch vụ (MaaS) với giá 500 USD/tháng kể từ cuối năm 2023. Nó có khả năng nhắm mục tiêu cả kiến trúc x86_64 và Arm.


"Cthulhu Stealer là một disk image (DMG) của Apple được đóng gói với hai tệp nhị phân, tùy thuộc vào kiến trúc", nhà nghiên cứu Tara Gould của Cado Security cho biết. "Phần mềm độc hại được viết bằng Golang và ngụy trang dưới dạng phần mềm hợp pháp."

Một số chương trình phần mềm mà nó mạo danh bao gồm CleanMyMac, Grand Theft Auto IV và Adobe GenP, chương trình cuối cùng là một công cụ nguồn mở giúp vá các ứng dụng Adobe để vượt qua dịch vụ Creative Cloud và kích hoạt chúng mà không cần khóa nối tiếp.

Người dùng cuối cùng khởi chạy tệp không dấu sau khi cho phép chạy tệp một cách rõ ràng - tức là bỏ qua các biện pháp bảo vệ của Gatekeeper - sẽ được nhắc nhập mật khẩu hệ thống của họ, một kỹ thuật dựa trên osascript đã được Atomic Stealer, Cuckoo, MacStealer và Banshee Stealer áp dụng.

Trong bước tiếp theo, lời nhắc thứ hai sẽ xuất hiện để nhập mật khẩu MetaMask của họ. Cthulhu Stealer cũng được thiết kế để thu thập thông tin hệ thống và lấy mật khẩu Chuỗi khóa iCloud bằng công cụ nguồn mở có tên Chainbreaker.

Dữ liệu bị đánh cắp, bao gồm cả cookie trình duyệt web và thông tin tài khoản Telegram, được nén và lưu trữ trong tệp lưu trữ ZIP, sau đó được chuyển sang máy chủ ra lệnh và kiểm soát (C2).


Gould cho biết: "Chức năng chính của Cthulhu Stealer là đánh cắp thông tin xác thực và ví tiền điện tử từ nhiều cửa hàng khác nhau, bao gồm cả tài khoản trò chơi".

"Chức năng và tính năng của Cthulhu Stealer rất giống với Atomic Stealer, cho thấy nhà phát triển của Cthulhu Stealer có thể đã lấy Atomic Stealer và sửa đổi mã. Việc sử dụng osascript để nhắc người dùng nhập mật khẩu của họ cũng tương tự trong Atomic Stealer và Cthulhu, thậm chí bao gồm cả những lỗi chính tả tương tự."

Các tác nhân đe dọa đằng sau phần mềm độc hại được cho là không còn hoạt động, một phần do tranh chấp về các khoản thanh toán dẫn đến cáo buộc thoát lừa đảo của các chi nhánh, dẫn đến việc nhà phát triển chính bị cấm vĩnh viễn khỏi thị trường tội phạm mạng được sử dụng để quảng cáo kẻ đánh cắp.

Cthulhu Stealer không đặc biệt phức tạp và thiếu các kỹ thuật chống phân tích có thể cho phép nó hoạt động lén lút. Nó cũng thiếu bất kỳ tính năng nổi bật nào để phân biệt nó với các dịch vụ tương tự khác trong lòng đất.
An ninh mạng

Mặc dù các mối đe dọa đối với macOS ít phổ biến hơn nhiều so với Windows và Linux, nhưng người dùng chỉ nên tải xuống phần mềm từ các nguồn đáng tin cậy, tránh cài đặt các ứng dụng chưa được xác minh và luôn cập nhật hệ thống của họ với các bản cập nhật bảo mật mới nhất.

Sự gia tăng phần mềm độc hại trên macOS đã không được Apple chú ý, hồi đầu tháng này, Apple đã công bố bản cập nhật cho phiên bản tiếp theo của hệ điều hành nhằm mục đích gây thêm rắc rối khi cố gắng mở phần mềm không được ký chính xác hoặc không được công chứng.

Apple cho biết: "Trong macOS Sequoia, người dùng sẽ không còn có thể Control-click để ghi đè Gatekeeper khi mở phần mềm không được ký chính xác hoặc công chứng". "Họ sẽ cần truy cập Cài đặt hệ thống > Quyền riêng tư & Bảo mật để xem lại thông tin bảo mật cho phần mềm trước khi cho phép phần mềm chạy."