محققان امنیت سایبری در Cado Security یک بدافزار جدید به عنوان یک سرویس (MaaS) شناسایی کردهاند که کاربران macOS و دارندگان ارزهای دیجیتال را هدف قرار میدهد. بدافزار جدید macOS با نام “Cthulhu Stealer” اولین بار در اواخر سال 2023 مشاهده شد و به عنوان یک سرویس در وب تاریک با قیمت 500 دلار در ماه فروخته میشود.
عملکرد اصلی این بدافزار مخرب استخراج اطلاعات حساس از مکهای آلوده مانند کوکیهای مرورگر، رمزهای عبور سیستم، رمزهای عبور ذخیره شده از iCloud Keychain، کیف پولهای رمزنگاری شده از فروشگاههای مختلف، از جمله حسابهای بازی، اطلاعات مرورگر وب، و حتی اطلاعات حساب تلگرام Tdata است.
Cthulhu Stealer یک تصویر دیسک اپل (DMG) همراه با دو باینری است که برای معماریهای x86_64 و ARM طراحی شده است. تارا گولد، محقق امنیتی Cato در گزارش اخیر Cado Security نوشت: این نرم افزار به زبان GoLang نوشته شده است و خود را به عنوان نرم افزار قانونی پنهان میکند و از برنامههای محبوب مانند CleanMyMac، Grand Theft Auto VI و Adobe GenP تقلید میکند.
هنگامی که کاربر فایل dmg را مانت کرد، از کاربر خواسته میشود که نرم افزار را باز کند. پس از باز شدن فایل، osascript، از کاربر خواسته میشود تا رمز عبور سیستم خود را از طریق ابزار خط فرمان macOS وارد کند که AppleScript و JavaScript را اجرا میکند.
پس از وارد کردن رمز اولیه، یک فرمان دوم رمز عبور متاماسک کاربر را درخواست میکند. سپس یک دایرکتوری در “/Users/Shared/NW” ایجاد میکند تا اطلاعات کاربری سرقت شده را در فایلهای متنی ذخیره کند.
این بدافزار همچنین برای حذف رمزهای عبور iCloud Keychain در Keychain.txt با استفاده از ابزار منبع باز به نام Chainbreak طراحی شده است. دادههای دزدیده شده فشرده شده و در یک فایل آرشیو ZIP ذخیره میشوند و پس از آن به سرور فرمان و کنترل (C2) که توسط مهاجمان کنترل میشود، استخراج میشوند.
هنگامی که بدافزار Cthulhu Stealer دسترسی پیدا کرد، یک دایرکتوری در “/Users/Shared/NW” با اعتبار دزدیده شده ذخیره شده در فایلهای متنی ایجاد میکند. سپس اقدام به انگشت نگاری از سیستم قربانی میکند و اطلاعاتی از جمله آدرس IP، نام سیستم، نسخه سیستم عامل، اطلاعات سخت افزاری و نرم افزاری را جمعآوری میکند.
عملکرد و ویژگیهای Cthulhu Stealer بسیار شبیه به Atomic Stealer است، که نشان میدهد توسعهدهنده Cthulhu Stealer احتمالا Atomic Stealer را گرفته و کد را اصلاح کرده است. استفاده از osascript برای درخواست رمز عبور از کاربر در Atomic Stealer و Cthulhu مشابه است، حتی شامل اشتباهات املایی یکسان است.
با این حال، گزارشها نشان میدهد که عوامل تهدید پشت دزد Cthulhu ممکن است فعالیت خود را متوقف کرده باشند، بنا بر گزارشها به دلیل اختلافات پرداخت و اتهام کلاهبردار بودن یا شرکت در یک کلاهبرداری خروج. این منجر به ممنوعیت دائمی بازاری شد که در آن بدافزار تبلیغ میشد.
اگرچه macOS مدتهاست که به عنوان یک سیستم امن در نظر گرفته میشود، بدافزاری که کاربران مک را هدف قرار میدهد همچنان یک نگرانی امنیتی فزاینده است. برای محافظت در برابر تهدیدات سایبری بالقوه، به کاربران توصیه میشود همیشه نرمافزار را از منابع قابل اعتماد دانلود کنند، ویژگیهای امنیتی داخلی macOS مانند Gatekeeper را فعال کنند، سیستم و برنامهها را با آخرین وصلههای امنیتی بهروز نگه دارند و از نرمافزار آنتیویروس معتبر استفاده کنند. یک لایه حفاظتی اضافی فراهم میکند.
“
“”قرارگاه جنبش انقلابیون(قجا)””
“
https://313-313.ir/
مطالب برتر
فایلهای خود را در برابر اشکالات OneDrive ایمن نگه دارید
انقلابی کردن نظارت بر شبکه: کاهش هزینههای اتوماسیون و افزایش عملیاتی کارایی
نکات مهم امنیت سایبری برای مشاغلی که از راه دور استفاده میکنند