Cado Security’deki siber güvenlik araştırmacıları, macOS kullanıcılarını ve kripto para sahiplerini hedef alan yeni bir kötü amaçlı yazılım (MaaS) tespit etti.
“Cthulhu Stealer” adı verilen yeni macOS kötü amaçlı yazılımı ilk olarak 2023’ün sonlarında tespit edildi ve karanlık web’de aylık 500 dolara bir hizmet olarak satılıyor.
Bu kötü amaçlı yazılımın temel işlevi, virüslü Mac’lerden tarayıcı çerezleri, sistem parolaları, iCloud Keychain’den kaydedilmiş parolalar, oyun hesapları da dahil olmak üzere çeşitli mağazalardaki kripto para cüzdanları, web tarayıcısı bilgileri ve hatta Telegram Tdata hesap bilgileri gibi hassas bilgileri çıkarmaktır.
Cthulhu Stealer, x86_64 ve ARM mimarileri için tasarlanmış iki ikili dosyayla birlikte paketlenmiş bir Apple disk görüntüsüdür (DMG). GoLang’da yazılmıştır ve CleanMyMac, Grand Theft Auto VI ve Adobe GenP gibi popüler uygulamaları taklit ederek meşru bir yazılım gibi gizlenir, Cato Güvenlik araştırmacısı Tara Gould bir son Cado Güvenlik raporu.
Kullanıcı dmg dosyasını bağladıktan sonra, kullanıcıdan yazılımı açması istenir. osascript dosyası açıldıktan sonra, kullanıcıdan AppleScript ve JavaScript çalıştıran macOS’un komut satırı aracı aracılığıyla sistem parolasını girmesi istenir.
İlk parolayı girdikten sonra, ikinci bir istem kullanıcının MetaMask parolasını ister. Daha sonra çalınan kimlik bilgilerini metin dosyalarında depolamak için ‘/Users/Shared/NW’ dizininde bir dizin oluşturur.
Kötü amaçlı yazılım ayrıca, Chainbreak adlı açık kaynaklı bir araç kullanarak iCloud Keychain parolalarını Keychain.txt’ye dökmek için tasarlanmıştır. Çalınan veriler sıkıştırılır ve bir ZIP arşiv dosyasında saklanır, ardından saldırganlar tarafından kontrol edilen bir komuta ve kontrol (C2) sunucusuna sızdırılır.
Cthulhu Stealer kötü amaçlı yazılımı erişim sağladığında, çalınan kimlik bilgilerinin metin dosyalarında saklandığı ‘/Users/Shared/NW’ dizininde bir dizin oluşturur. Daha sonra kurbanın sisteminin parmak izini alarak IP adresi, sistem adı, işletim sistemi sürümü, donanım ve yazılım bilgileri gibi bilgileri toplar.
“Cthulhu Stealer’ın işlevselliği ve özellikleri Atomic Stealer’a çok benziyor, bu da Cthulhu Stealer geliştiricisinin muhtemelen Atomic Stealer’ı alıp kodu değiştirdiğini gösteriyor. Kullanıcıdan şifresini istemek için osascript kullanımı Atomic Stealer ve Cthulhu’da benzer, hatta aynı yazım hataları bile var,” diye ekledi rapor.
Ancak raporlar, Cthulhu Stealer’ın arkasındaki tehdit aktörlerinin, ödeme anlaşmazlıkları ve dolandırıcı olma veya bir çıkış dolandırıcılığına katılma suçlamaları nedeniyle faaliyetlerini durdurmuş olabileceğini gösteriyor. Bu, kötü amaçlı yazılımın tanıtıldığı pazaryerinden kalıcı bir yasakla sonuçlandı.
macOS uzun zamandır güvenli bir sistem olarak kabul edilse de, Mac kullanıcılarını hedef alan kötü amaçlı yazılımlar giderek artan bir güvenlik endişesi olmaya devam ediyor. Olası siber tehditlerden korunmak için, kullanıcılara her zaman güvenilir kaynaklardan yazılım indirmeleri, Gatekeeper gibi macOS’un yerleşik güvenlik özelliklerini etkinleştirmeleri, sistemi ve uygulamaları en son güvenlik yamalarıyla güncel tutmaları ve ek bir koruma katmanı sağlamak için saygın bir antivirüs yazılımı kullanmayı düşünmeleri önerilir.
