Novi macOS zlonamjerni softver: Cthulhu Stealer
Mirni svet macOS korisnika nedavno je uzdrman pojavom nove zlonamjerne prijetnje pod nazivom Cthulhu Stealer. Ovaj sofisticirani dio zlonamjernog softvera posebno je dizajniran da infiltrira macOS sisteme i krade osjetljive podatke. Identifikovan je od strane sigurnosnih istraživača kompanije Cado Security i funkcioniše po modele zlonamjerni softver kao usluga (eng. Malware-as-a-Service – MaaS).
CTHULHU STEALER
Godinama je postojalo opšte uvjerenje da su macOS sistemi imuni na zlonamjerni softver zbog strogih Apple bezbjednosnih mjera i manjeg tržišnog udjela u poređenju sa Windows operativnim sistemima. Međutim, ovo uvjerenje je dovedeno u pitanje u posljednje vreme zbog sve većeg trenda macOS zlonamjernog softvera kao što su Silver Sparrow, KeRanger, Banshee Stealer, Cuckoo, MacStealer, MetaStealer i Atomic Stealer.
Cthulhu Stealer je najnoviji dodatak ovoj listi koji cilja macOS korisnike, napisan na Golang programskom jeziku i dolazi različito prerušen. Neki od softverskih programa koje ovaj zlonamjerni softver oponaša uključuju CleanMyMac, Grand Theft Auto IV i Adobe GenP.
“Cado je pronašao Cthulhu Stealer koji se prodaje na dva poznata tržišta zlonamjernog softvera, koja se koriste za komunikaciju, arbitražu i oglašavanje kradljivca, zajedno sa Telegramom.”
– Cado Security –
Funkcionisanje
Cthulhu Stealer je dizajniran po modele zlonamjerni softver kao usluga (MaaS) koji se prikriva kao legitiman softver koristeći Apple DMG datoteke. Zlonamjerni akteri koji stoje iza Cthulhu Stealer zlonamjernog softvera distribuiraju ga putem različitih kanala, kao što su phishing elektronska pošta ili taktike društvenog inženjeringa. Kada korisnik preuzme i učita DMG datoteku, biće mu predstavljen instalacijski paket koji izgleda kao prava aplikacija. Međutim, nakon detaljnijeg pregleda, ovaj instaler nije ništa drugo nego maska za zlonamjerni softver.
Jednom kada korisnik otvori instaler, osascript – macOS alatka komandne linije, automatski se pokreće u pozadini. Ova skripta traži od korisnika da unese svoju sistemsku lozinku koristeći osascript zasnovanu tehniku koju su usvojili razni drugi poznati zlonamjerni softveri kao što su Atomic Stealer, Cuckoo, MacStealer i Banshee Stealer. Primarni razlog za traženje sistemske lozinke je sticanje povišenih privilegija, omogućavajući zlonamjernom softveru da izvrši opsežnije operacije krađe podataka.
“Glavna Cthulhu Stealer funkcionalnost je krađa akreditiva i novčanika kriptovaluta iz različitih prodavnica, uključujući naloge za video igre.”
– Cado Security –
Nakon dobijanja sistemske lozinke, osascript zatim predstavlja još jedan upit koji traži od korisnika da unese svoju MetaMask lozinku. MetaMask je suštinsko proširenje pregledača koje koriste mnogi korisnici kriptovaluta za upravljanje i obezbjeđenje digitalne imovine. Krađom ovih informacija, Cthulhu Stealer može pristupiti i prenijeti sredstva iz pogođenih novčanika bez znanja ili saglasnosti korisnika.
Kada se dobiju oba skupa akreditiva, zlonamjerni softver nastavlja da krade druge osjetljive podatke kao što su iCloud Keichain lozinke, kolačići internet pregledača, detalji o Telegram nalogu i sve sačuvane ključeve za šifrovanje. Ukradene informacije se zatim kompresuju u ZIP datoteku za eksfiltraciju na kontrolni server koristeći šifrovanu vezu kako bi se osigurala maksimalna sigurnost tokom prenosa.
Atomic Stealer sličnosti
Nakon detaljnijeg ispitivanja, sigurnosni istraživači su zaključili da postoje upadljive sličnosti između baze kôda Cthulhu Stealer i Atomic Stealer zlonamjernog softvera. Iako su na prvi pogled dva različita zlonamjerna softvera za napada na macOS korisnike oni dijele nekoliko sličnosti u svojim metodama rada, što sugeriše moguću vezu između njih.
Vjeruje se da je zlonamjerni akter koji stoji iz Cthulhu Stealer zlonamjernog softvera pozajmio kôdnu bazu od Atomic Stealer zlonamjernog softvera da bi napravio ovu novu prijetnju. Najočigledniji dokaz ovog odnosa leži u OSA skripti, koja sadrži iste pravopisne greške i funkcionalnost kao i njegov prethodnik.
Pored toga, Cthulhu Stealer i Atomic Stealer koriste alatke otvorenog kôda da preuzmu iCloud Keychain lozinke i kompresuju ukradene podatke u ZIP arhivske datoteke pre nego što ih eksfiltriraju na servere za komandu i kontrolu. Ovaj metod kompresije otežava sigurnosnim istraživačima i korisnicima da otkriju zlonamjerne aktivnosti na svojim sistemima.
ZAKLJUČAK
Cthulhu Stealer je novi zlonamjerni softver koji cilja macOS korisnike i može da izvrši krađu osjetljivih podatka. Koristi različite tehnike, uključujući prerušavanje u legitiman softver i iskorištavanje ranjivosti korisnika koristeći taktike društvenog inženjeringa da bi dobio pristup sistemu. Ovaj zlonamjerni softver cilja osjetljive informacije kao što su akreditivi, novčanici kriptovaluta, sistemske lozinke, iCloud Keychain lozinke, kolačići internet pregledača i detalje o Telegram nalogu. Ukradeni podaci se zatim šalju kontrolnom serveru za dalju eksploataciju ili se prodaju na mračnom internetu drugim zlonamjernim akterima.
Posljedice infekcije Cthulhu Stealer zlonamjernim softverom mogu biti značajne. Korisnici mogu izgubiti pristup svojim novčanicima za kriptovalute, kompromitovati svoje iCloud naloge i potencijalno se suočiti sa krađom identiteta zbog ukradenih akreditiva. Štaviše, ako zaraženi korisnik upravlja poslovanjem ili rukuje osjetljivim korporativnim podacima, uticaj bi mogao da se proširi i dalje od ličnih gubitaka. Zbog svega navedenog, pojava Cthulhu Stealer zlonamjernog softvera naglašava važnost zadržavanja opreza protiv zlonamjernih prijetnji u sajber prostoru, čak i kada se radi o naizgled legitimnom softveru koji se instalira ili pokreće.
“Iako se macOS dugo smatrao bezbjednim sistemom, postojanje zlonamjernog softvera koji cilja na Mac korisnike postaje sve veći bezbjednosni problem.”
– Cado Security –
ZAŠTITA
Evo nekoliko načina kako da se korisnici zaštite od Cthulhu Stealer zlonamjernog softvera:
- Redovno ažuriranje operativnog sistema i aplikacija je ključno za održavanje bezbjednog okruženja od poznatih ranjivosti koje bi mogao da iskoristi zlonamjerni softver kao što je Cthulhu Stealer. Kompanija Apple često objavljuje bezbjednosna ažuriranja, pa ih obavezno treba instalirati čim postanu dostupna,
- Korištenje renomiranog antivirusnog softvera na macOS sistemu može pomoći u otkrivanju i uklanjanju potencijalnih prijetnji pre nego što nanesu štetu. Iako je zlonamjerni softver za Mac operativne sisteme manje uobičajen u poređenju sa Windows operativnim sistemima, i dalje je neophodno imati dodatni sloj zaštite,
- Uvijek preuzimati aplikacije iz pouzdanih izvora kao što je Apple App Store ili zvanične internet lokacije renomiranih programera. Zlonamjerni softver može biti prikriven u naizgled bezopasnim aplikacijama, pa obavezno pročitati recenzije i provjeriti da li ima znakova upozorenja prije nego što se instalira bilo šta novo na sistem,
- macOS dolazi sa nekoliko ugrađenih bezbjednosnih funkcija koje pomažu u zaštiti od zlonamjernog softvera kao što je Cthulhu Stealer. Jedna takva funkcija je Gatekeeper, koja sprečava instalaciju neprovjerenih aplikacija provjerom njihovih digitalnih potpisa i provjere statusa. Obavezno omogućite ovu postavku u System Preferences > Security & Privacy settings,
- Iako je moguće promijeniti Gatekeeper podešavanja za određene aplikacije, to može izložiti sistem potencijalnim rizicima ako korisnik nije siguran u implikacije ili pouzdanost softvera. Zaobilaziti ovu zaštitu samo kada je to neophodno i sa jasnim razumijevanjem povezanih rizika,
- Poznato je da se Cthulhu Stealer širi putem phishing poruka elektronske pošte, tako da je od suštinskog značaja da korisnici budu svjesni ovog vektora prijetnji i da preduzimaju korake da se zaštitite od takvih napada. Potrebno je biti na oprezu prilikom otvaranja priloga elektronske pošte ili klikova na veze u neželjenim porukama, posebno ako traže osjetljive informacije kao što su korisnička imena ili lozinke,
- Koristiti jake, jedinstvene lozinke za sve naloge, uključujući i one povezane sa macOS sistemom i aplikacijama. Ovo će pomoći u sprečavanju neovlaštenog pristupa podacima čak i ako zlonamjerni softver uspije da se infiltrira u sistem,
- U slučaju da Cthulhu Stealer ili bilo koja druga vrsta zlonamjernog softvera uspije da zarazi uređaj, skorašnja rezervna kopija može pomoći u oporavku uređaja bez gubitka važnih datoteka. Obavezno redovno praviti rezervne kopije svih bitnih informacija na eksternom mediju ili usluzi skladištenja u oblaku,
- Zlonamjerni akteri koji stoje iza Cthulhu Stealer i drugog zlonamjernog softvera često koriste taktike društvenog inženjeringa da prevare korisnike da preuzmusoftver ili otkriju osjetljive informacije. Potrebno je biti informisan o najnovijim bezbjednosnim prijetnjama, prevarama i phishing napadima koji ciljaju korisnike macOS operativnog sistema, kao i biti oprezan prilikom komunikacije preko sumnjive elektronske pošte, internet lokacija ili poruka.