نرم‌افزار مخرب اطلاعات کاربران مک بوک را هدف قرار می‌دهد

محققان امنیت سایبری یک نرم‌افزار مخرب جدید را شناسایی کرده‌اند که برای هدف قرار دادن میزبان‌های macOS اپل و جمع‌آوری طیف گسترده‌ای از اطلاعات طراحی شده است و این نشان می‌دهد که چگونه مهاجمان سایبری به‌طور فزاینده‌ای چشم‌انداز خود را به این سیستم عامل معطوف می‌کنند.

به گزارش سرویس هک و امنیت رسانه عصر فناوری، نرم‌افزار مخرب Cthulhu Stealer از اواخر سال 2023 با مدل “نرم‌افزار مخرب به‌عنوان یک خدمت” (MaaS) با قیمت 500 دلار در ماه در دسترس بوده است و قادر به هدف قرار دادن هر دو معماری x86_64 و Arm است.

Tara Gould، محقق Cado Security، گفت: “Cthulhu Stealer یک تصویر دیسک اپل (DMG) است که بسته به معماری، با دو فایل اجرایی همراه است. این نرم‌افزار مخرب با زبان Golang نوشته شده و خود را به‌عنوان نرم‌افزار قانونی استتار می‌کند.”

برخی از برنامه‌های نرم‌افزاری که آن را تقلید می‌کند شامل CleanMyMac، Grand Theft Auto IV و Adobe GenP است که آخرین مورد یک ابزار منبع باز است که برنامه‌های Adobe را برای دور زدن سرویس Creative Cloud و فعال کردن آن‌ها بدون کلید سریال وصله می‌کند.

کاربرانی که پس از اجازه صریح برای اجرا شدن – یعنی دور زدن محافظت‌های Gatekeeper – اقدام به اجرای فایل امضا نشده می‌کنند، با پیامی برای وارد کردن رمز عبور سیستم خود روبرو می‌شوند، یک تکنیک مبتنی بر osascript که توسط Atomic Stealer، Cuckoo، MacStealer و Banshee Stealer نیز به کار گرفته شده است.

در مرحله بعدی، پیام دیگری برای وارد کردن رمز عبور MetaMask خود ارائه می‌شود. Cthulhu Stealer همچنین برای جمع‌آوری اطلاعات سیستم و تخلیه رمزهای عبور iCloud Keychain با استفاده از یک ابزار منبع باز به نام Chainbreaker طراحی شده است.

اطلاعات سرقت شده، که همچنین شامل کوکی‌های مرورگر وب و اطلاعات حساب تلگرام است، فشرده شده و در یک فایل آرشیو ZIP ذخیره می‌شود، سپس به یک سرور فرمان و کنترل (C2) خارج می‌شود.

Gould گفت: “عملکرد اصلی Cthulhu Stealer سرقت اعتبارنامه‌ها و کیف پول‌های ارز دیجیتال از فروشگاه‌های مختلف، از جمله حساب‌های بازی است.”

“عملکرد و ویژگی‌های Cthulhu Stealer بسیار شبیه به Atomic Stealer است، این نشان می‌دهد که توسعه‌دهنده Cthulhu Stealer احتمالاً Atomic Stealer را برداشته و کد آن را اصلاح کرده است. استفاده از osascript برای درخواست رمز عبور کاربر از کاربر مشابه در Atomic Stealer و Cthulhu است، حتی شامل همان اشتباهات املایی است.”

گفته می‌شود مهاجمان سایبری پشت این نرم‌افزار مخرب دیگر فعال نیستند، بخشی از آن به دلیل اختلافات در پرداخت‌ها است که منجر به اتهامات کلاهبرداری خروجی توسط همدستان شده است و منجر به ممنوعیت دائمی توسعه‌دهنده اصلی از یک بازار جرم سایبری مورد استفاده برای تبلیغ نرم‌افزار مخرب شده است.

Cthulhu Stealer به‌طور خاصی پیچیده نیست و فاقد تکنیک‌های ضدتحلیل است که بتواند به آن اجازه دهد به‌طور مخفیانه عمل کند. همچنین فاقد هر ویژگی برجسته‌ای است که آن را از سایر پیشنهادات مشابه در زیرزمین متمایز کند.

در حالی که تهدیدات علیه macOS بسیار کمتر از تهدیدات علیه ویندوز و لینوکس رایج است، توصیه می‌شود کاربران فقط از منابع قابل اعتماد نرم‌افزار دانلود کنند، از نصب برنامه‌های تأیید نشده خودداری کنند و سیستم‌های خود را با آخرین به‌روزرسانی‌های امنیتی به‌روز نگه دارند.

افزایش نرم‌افزارهای مخرب macOS مورد توجه اپل قرار نگرفته است، که اوایل این ماه، به‌روزرسانی نسخه بعدی سیستم عامل خود را اعلام کرد که هدف آن اضافه کردن اصطکاک بیشتر هنگام تلاش برای باز کردن نرم‌افزاری است که به‌درستی امضا یا تأیید نشده است.

اپل گفت: “در macOS Sequoia، کاربران دیگر نمی‌توانند با Control-click هنگام باز کردن نرم‌افزاری که به‌درستی امضا یا تأیید نشده است، Gatekeeper را نادیده بگیرند. آن‌ها باید به تنظیمات سیستم > حریم خصوصی و امنیت مراجعه کنند تا اطلاعات امنیتی را برای نرم‌افزار قبل از اجازه دادن به اجرا شدن بررسی کنند.”