14 مهر 1403

قرارگاه جنبش انقلابیون (قجا)

قرارگاه امنیتی و سایبری جنبش انقلابیون جمهوری اسلامی ایران

بدافزار macOS “Cthulhu Stealer” از برنامه‌های قانونی برای سرقت داده‌های حساس تقلید می‌کند

محققان امنیت سایبری در Cado Security یک بدافزار جدید به عنوان یک سرویس (MaaS) شناسایی کرده‌اند که کاربران macOS و دارندگان ارزهای دیجیتال را هدف قرار می‌دهد. بدافزار جدید macOS با نام “Cthulhu Stealer” اولین بار در اواخر سال 2023 مشاهده شد و به عنوان یک سرویس در وب تاریک با قیمت 500 دلار در ماه فروخته می‌شود.

عملکرد اصلی این بدافزار مخرب استخراج اطلاعات حساس از مک‌های آلوده مانند کوکی‌های مرورگر، رمزهای عبور سیستم، رمزهای عبور ذخیره شده از iCloud Keychain، کیف پول‌های رمزنگاری شده از فروشگاه‌های مختلف، از جمله حساب‌های بازی، اطلاعات مرورگر وب، و حتی اطلاعات حساب تلگرام Tdata است.

Cthulhu Stealer یک تصویر دیسک اپل (DMG) همراه با دو باینری است که برای معماری‌های x86_64 و ARM طراحی شده است. تارا گولد، محقق امنیتی Cato در گزارش اخیر Cado Security نوشت: این نرم افزار به زبان GoLang نوشته شده است و خود را به عنوان نرم افزار قانونی پنهان می‌کند و از برنامه‌های محبوب مانند CleanMyMac، Grand Theft Auto VI و Adobe GenP تقلید می‌کند.

هنگامی که کاربر فایل dmg را مانت کرد، از کاربر خواسته می‌شود که نرم افزار را باز کند. پس از باز شدن فایل، osascript، از کاربر خواسته می‌شود تا رمز عبور سیستم خود را از طریق ابزار خط فرمان macOS وارد کند که AppleScript و JavaScript را اجرا می‌کند.

پس از وارد کردن رمز اولیه، یک فرمان دوم رمز عبور متاماسک کاربر را درخواست می‌کند. سپس یک دایرکتوری در “/Users/Shared/NW” ایجاد می‌کند تا اطلاعات کاربری سرقت شده را در فایل‌های متنی ذخیره کند.

این بدافزار همچنین برای حذف رمزهای عبور iCloud Keychain در Keychain.txt با استفاده از ابزار منبع باز به نام Chainbreak طراحی شده است. داده‌های دزدیده شده فشرده شده و در یک فایل آرشیو ZIP ذخیره می‌شوند و پس از آن به سرور فرمان و کنترل (C2) که توسط مهاجمان کنترل می‌شود، استخراج می‌شوند.

هنگامی که بدافزار Cthulhu Stealer دسترسی پیدا کرد، یک دایرکتوری در “/Users/Shared/NW” با اعتبار دزدیده شده ذخیره شده در فایل‌های متنی ایجاد می‌کند. سپس اقدام به انگشت نگاری از سیستم قربانی می‌کند و اطلاعاتی از جمله آدرس IP، نام سیستم، نسخه سیستم عامل، اطلاعات سخت افزاری و نرم افزاری را جمع‌آوری می‌کند.

عملکرد و ویژگی‌های Cthulhu Stealer بسیار شبیه به Atomic Stealer است، که نشان می‌دهد توسعه‌دهنده Cthulhu Stealer احتمالا Atomic Stealer را گرفته و کد را اصلاح کرده است. استفاده از osascript برای درخواست رمز عبور از کاربر در Atomic Stealer و Cthulhu مشابه است، حتی شامل اشتباهات املایی یکسان است.

با این حال، گزارش‌ها نشان می‌دهد که عوامل تهدید پشت دزد Cthulhu ممکن است فعالیت خود را متوقف کرده باشند، بنا بر گزارش‌ها به دلیل اختلافات پرداخت و اتهام کلاهبردار بودن یا شرکت در یک کلاهبرداری خروج. این منجر به ممنوعیت دائمی بازاری شد که در آن بدافزار تبلیغ می‌شد.

اگرچه macOS مدت‌هاست که به عنوان یک سیستم امن در نظر گرفته می‌شود، بدافزاری که کاربران مک را هدف قرار می‌دهد همچنان یک نگرانی امنیتی فزاینده است. برای محافظت در برابر تهدیدات سایبری بالقوه، به کاربران توصیه می‌شود همیشه نرم‌افزار را از منابع قابل اعتماد دانلود کنند، ویژگی‌های امنیتی داخلی macOS مانند Gatekeeper را فعال کنند، سیستم و برنامه‌ها را با آخرین وصله‌های امنیتی به‌روز نگه دارند و از نرم‌افزار آنتی‌ویروس معتبر استفاده کنند. یک لایه حفاظتی اضافی فراهم می‌کند.



“”قرارگاه جنبش انقلابیون(قجا)””

https://313-313.ir/