Yeni bir bilgi hırsızı, gezegendeki en yaygın kötü amaçlı yazılım araçlarından birinin kuyruğuna takılmaya çalışıyor ve macOS ortamlarındaki bazı temel güvenlik eksikliklerinden faydalanıyor.
Cado Security yeni bir blog yazısında şunları tartışıyor: “Cthulhu Hırsızı” Son zamanlarda dolaşımda olan yeni bir siber suç aracı. Kripto para cüzdanı ve oyun kimlik bilgilerinin yanı sıra tarayıcı verilerini ele geçirmek için tasarlanmıştır. Özellikle karmaşık değildir, belki de olması gerekmediği için. Atom Hırsızı — Cthulhu’nun atası — bunu kanıtladı. Geçtiğimiz birkaç yılda, bu temelde ortalama hırsız, dünya çapında en yaygın kötü amaçlı yazılımlardan biri haline geldi. Belki de uzmanlar, bunun güvenlik topluluğunun geçmişte Mac’leri görmezden gelme yollarından bazılarıyla ilgili olduğunu öne sürüyor.
Vaka Çalışması: Cthulhu Hırsızı
Cthulhu Stealer, Golang’da yazılmış bir Apple disk görüntüsüdür (DMG). Genellikle kurbanın gözlerinin önüne CleanMyMac bakım aracı veya Grand Theft Auto video oyunu gibi meşru bir yazılım programı olarak gelir.
Program açıldığında kurbandan sistem şifresini ve mantıksız bir şekilde Metamask kripto para cüzdanı şifresini istiyor.
“Kullanıcılara şüpheli görünmeli, ancak bazen insanlar bir şeyler indiriyor ve düşünmüyor olabilirler,” diyor Cado Security’de tehdit araştırmacısı olan Tara Gould. Özellikle Cthulhu’nun hedef kitlesi için, “Daha genç olabilirler veya bilgisayar konusunda çok bilgili olmayabilirler. Şüpheli olarak işaretlenmemesi için bir sürü neden olabilir.”
Program ekildikten sonra IP adresi, işletim sistemi sürümü ve çeşitli donanım ve yazılım bilgileri gibi sistem verilerini toplar. Daha sonra gerçek amacının peşine düşer: kripto, oyun hesabı ve tarayıcı kimlik bilgileri. Hedeflenen uygulamalar arasında Coinbase, Binance ve Atomic kripto cüzdanları, Firefox çerezleri ve Battle.net ve Minecraft kullanıcı verileri bulunur.
Siber suç forumlarında aylık 500 dolardan satılmasına rağmen, Cthulhu Stealer temelde basit, göze çarpan herhangi bir gizlilik tekniğine sahip değil ve yeraltında ticari olarak satılan diğer oyunlardan büyük ölçüde ayırt edilemiyor.
Atom Hırsızının Döşediği Yol
Cthulhu Stealer’ın en dikkat çekici özelliği Atomic Stealer’ı ne kadar yakından kopyaladığıdır. Sadece aynı işlevsellik ve özelliklerin çoğunu paylaşmakla kalmaz, aynı zamanda Cthulhu Stealer, Atomic Stealer’ın kodunda aynı yazım hatalarından bazılarını bile içerir.
Atomic Stealer kendi başına o kadar dikkat çekici değil. Daha önce, Dark Reading bir kalıcılık mekanizmasının eksikliğini belirtmiş ve onu doğası gereği “vur ve kap” olarak nitelendirmişti. Yine de, diğer kötü amaçlı yazılım yazarlarının onu kopyalamak istemesi şaşırtıcı değil, çünkü bugün dünyadaki en başarılı bilgi hırsızlarından biri.
Geçtiğimiz ay yayınlanan bir raporda Red Canary, bunu şu şekilde sıraladı: altıncı en yaygın kötü amaçlı yazılım bugün vahşi doğada, popüler SocGholish ve Lumma ve her yerde bulunan Cobalt Strike ile berabere. Altıncı sıradaki bitişi aslında önceki Red Canary raporlarından bir adım geride, bu raporlar Atomic Stealer’ı 2024’ün tamamı için en iyi 10 listesine dahil etmişti.
“Herhangi bir macOS tehdidinin ilk 10’a girmesi oldukça şaşırtıcı,” diyor Red Canary’deki baş bilgi güvenliği uzmanı Brian Donohue. “Anlamlı bir macOS cihaz ayak izine sahip herhangi bir kuruluşun muhtemelen ortamlarında bir yerlerde Atomic Stealer’ın gizlendiğini tahmin ediyorum.”
İşletmeler macOS Tehditlerini Nasıl Ele Almalı?
macOS’a yönelik tehditler, Elastic ile birlikte Windows ve Linux’a yönelik tehditlerden belirgin şekilde daha az yaygındır 2022 ve 2023 verileri Bu da tüm kötü amaçlı yazılımların yalnızca yaklaşık %6’sının bu sistemlerde bulunabileceğini gösteriyor.
“Windows hala en çok hedeflenen, çünkü büyük şirketlerin hepsi hala Windows ağırlıklı olma eğiliminde, ancak bu değişiyor. Birçok kuruluş sahip oldukları Mac sayısını artırmaya başlıyor, bu yüzden kesinlikle daha büyük bir sorun haline gelecek,” diyor Gould.
Bilgisayar korsanları henüz bu trene binmediler, ancak savunma oyuncularının bu trene pek ilgi göstermemesi nedeniyle, giderek artan bir ilgi var.
Elastic’te tehdit ve güvenlik istihbaratı başkanı olan Jake King, Dark Reading’e gönderdiği bir e-postada, Mac’lere yönelik tehditlerin geçen yıl %1’den daha az arttığını belirterek, “MacOS’un kurumlara özgü hedeflendiğini gösteren önemli büyüme kalıpları gözlemlemesek de, bunun bu işletim sisteminden elde edilen daha düşük hacimli telemetriye atfedilebileceği düşünülüyor. Takvim yılı boyunca, bir dizi kampanyada düşmanca ilgiyi gösteren, güvenlik açıklarını istismar etmeye yönelik birkaç yeni yaklaşım gözlemledik.” dedi. Başka bir deyişle: veriler, saldırganların veya savunucuların macOS’a olan ilgisizliğini gösterebilir.
Atomic Stealer gibi kontrolden çıkan başarılar daha fazla sayıda hacker’ı işletim sistemlerini taşımaya teşvik ederse, güvenlik camiasının yıllardır süren ilgisizliği nedeniyle savunmacılar dezavantajlı bir konumdan çalışmak zorunda kalacaklardır.
Donohue’nun açıkladığı gibi, “Birçok kuruluş mühendisler ve yöneticiler için macOS sistemlerini benimsiyor, bu nedenle macOS makinelerini kullanan kişilerin çoğu varsayılan olarak ya çok ayrıcalıklı ya da hassas bilgilerle uğraşıyor. Ve benim şüphem, bu kuruluşlarda macOS tehditleri konusunda daha az uzmanlık olması.”
Donohue ayrıca daha az araç olduğunu ekliyor. “Örneğin EDR gibi bir şeyi ele alalım. Bunlar Windows sistemlerini korumak için araçlar olarak başladı ve daha sonra macOS sistemlerini korumak için de araçlar haline geldi. Ve Windows makineleri gerçekten sağlam uygulama kontrol politikalarına sahip, ancak macOS Gatekeeper’da (Windows Defender’a kabaca benzeyen) gerçekten benzer bir işlevsellik yok. Kötü amaçlı ikili dosyaları bulmada ve bunlar için YARA kuralları ve imzaları oluşturmada oldukça iyi, ancak birçok kötü amaçlı yazılım geliştiricisi bunu atlatabildi.”
Elastic’in King’i ekliyor: “Varsayılan işletim sistemi kontrolleri etkili olsa da, muhtemelen düşmanca davranışlarla aynı hızda gelişmiyor.” Bu nedenle King, “Mantıklı erişim izinleri, yeterli güçlendirme kontrolleri ve kuruluşların macOS sistemlerindeki tehditleri gözlemlemesine veya engellemesine olanak tanıyan araçların sağlanması önemli olmaya devam ediyor.”