1. Компания Cado Security обнаружила новое вредоносное ПО под названием “Cthulhu Stealer”, разработанное для сбора данных с устройств Apple. Вредонос распространяется с конца 2023 года по модели “вредоносное ПО как услуга” (MaaS) стоимостью $500 в месяц. Cthulhu Stealer может работать на архитектуре x86_64 и Arm.
2. Cthulhu Stealer маскируется под легитимные приложения, такие как CleanMyMac и Grand Theft Auto IV. При атаке используется образ диска Apple, содержащий два бинарных файла, адаптированных для разных архитектур.
3. Cthulhu Stealer запрашивает системный пароль и может запросить пароль от MetaMask. Он собирает информацию о системе и пароли из iCloud Keychain с помощью Chainbreaker.
4. Собранные данные, включая куки веб-браузеров и информацию аккаунтов Telegram, сжимаются в архив и отправляются на сервер злоумышленников.
5. Основная цель Cthulhu Stealer – похищение учетных данных, криптовалютных кошельков и игровых аккаунтов.Thank you for reading this post, don't forget to subscribe!
6. Разработчики Cthulhu Stealer прекратили свою деятельность из-за внутренних конфликтов и споров о выплатах. Злоумышленники обвинили главного разработчика в мошенничестве.
7. Новая атака вредоносного ПО направлена на macOS. Троян получил название Cthulhu Stealer.
8. Он маскируется под полезные программы: CleanMyMac, GTA VI, Adobe.
9. После установки троян проникает в систему и извлекает личные данные: учетные записи в “Связке ключей”, историю посещений и cookie браузеров, учетные записи Telegram, криптокошельки.
10. Данные отправляются на сервера хакеров. Cthulhu Stealer продаётся в аренду в даркнете за $500.
11. TodoSwift – новое вредоносное ПО для macOS. Кристофер Лопес, исследователь безопасности компании Kandji, считает, что TodoSwift имеет сходства с KANDYKORN и RustBucket, которые связываются с BlueNoroff, подразделением Lazarus Group.
12. RustBucket – бэкдор на базе AppleScript, обнаруженный в июле 2023 года, способен загружать дополнительные вредоносные компоненты с сервера управления.
13. В ноябре 2023 года был обнаружен KANDYKORN, использованный в кибератаке на инженеров блокчейн-сферы.
14. KANDYKORN распространяется через многоступенчатую цепочку заражения и может получить доступ к данным компьютера жертвы.
15. Оба вредоносных ПО используют домены «linkpc[ ]net» для C2 серверов.
16. TodoSwift распространяется как подписанный файл под названием TodoTasks с загрузчиком, отображающим PDF документ о Bitcoin с Google Drive.
17. Вредоносная нагрузка загружается с домена, контролируемого злоумышленниками.
18. После установки TodoSwift собирает информацию об устройстве, включая версию операционной системы и модель оборудования, взаимодействует с C2 сервером через API и записывает данные в исполняемый файл на устройстве.
19. Lazarus Group, использующий подразделения BlueNoroff, целенаправленно атакует компании криптоиндустрии для кражи криптовалюты как способ обхода международных санкций.
20. Внедрение улучшений безопасности в macOS Sequoia, которые включают в себя ограничение обхода защиты Gatekeeper через Control click для запуска неподписанного ПО.
вое вредоносное ПО Cthulhu Stealer угрожает пользователям macOS
Сотрудники Cado Security обнаружили новый троян под названием Cthulhu Stealer, который специально разработан для кражи данных с устройств Apple. Эта опасная программа распространяется через “Malware as a Service” (MaaS) модель и стоит злоумышленникам $500 в месяц.
Cthulhu Stealer может работать как на x86_64, так и на Arm архитектурах – это означает, что практически все устройства macOS могут стать его жертвами. Атакующие маскируют вредоносное ПО под легитимные приложения, такие как CleanMyMac и Grand Theft Auto IV.
Чтобы проникнуть в систему, Cthulhu Stealer использует образ диска Apple, содержащий два бинарных файла, специально адаптированных для разных архитектур устройств. Как только пользователь запускает этот образ, троян начинает действовать.
Он запросит системный пароль, а также может попытаться получить доступ к паролю вашего MetaMask кошелька. С помощью Chainbreaker, Cthulhu Stealer крадет информацию о системе и пароли из iCloud Keychain. Все собранные данные – куки веб-браузеров, информация аккаунтов Telegram, и многое другое – сжимаются в архив и отправляются на сервер злоумышленников.
Целью Cthulhu Stealer является похищение учетных данных, криптовалютных кошельков и игровых аккаунтов. Но, похоже, разработчики этого вредоносного ПО столкнулись с внутренними конфликтами и спорами о выплатах. В результате, оперативники прервали свою деятельность из-за обвинений в мошенничестве, которые главный разработчик получил от своих партнеров.
Несмотря на прекращение деятельности разработчиков, Cthulhu Stealer остается угрозой для пользователей macOS. В то же время компания Apple постоянно совершенствует безопасность своей операционной системы. Так, в обновлении macOS Sequoia были внедрены улучшения безопасности, которые включают в себя ограничение обхода защиты Gatekeeper через Control click для запуска неподписанного ПО.
Однако стоит отметить, что Cthulhu Stealer – не единственный троян, который угрожает пользователям macOS. В ноябре 2023 года был обнаружен ещё один вредоносный код под названием KANDYKORN, используемый в кибератаках на инженеров блокчейн-сферы. Он распространяется через многоступенчатую цепочку заражения и может получить доступ к данным компьютера жертвы.
Похоже, Cthulhu Stealer и KANDYKORN используют схожие домены для серверов управления (“linkpc[ ]net”). В то же время TodoSwift – ещё одна разработка вредоносных программистов, которая также связывается с Lazarus Group, известным тем, что использует подразделение BlueNoroff для целенаправленных атак на криптокомпании.
Lazarus Group стремится похищать криптовалюту как способ обхода международных санкций. TodoSwift распространяется под видом законного приложения – TodoTasks, с загрузчиком, отображающим PDF документ о Bitcoin с Google Drive.
Вне зависимости от того, насколько вы знакомы с кибербезопасностью, помните: vigilance – ваша лучшая защита!