Cthulhu Stealer macOS Kötü Amaçlı Yazılımı Verileri Çalmak İçin Aylık 500 Dolar Karşılığında Kiralanabilir

   Ağustos 23, 2024  Posted in CyberSecurityNews


Cthulhu Stealer macOS Kötü Amaçlı Yazılımı Verileri Çalmak İçin Aylık 0 Dolara Kiralanabilir

Son yıllarda, macOS sistemlerinin kötü amaçlı yazılımlara karşı bağışık olduğuna dair inanç giderek daha fazla sorgulanıyor. Silver Sparrow, KeRanger ve Atomic Stealer gibi tehditlerin ortaya çıkmasıyla, macOS kullanıcıları sistemlerindeki güvenlik açıklarının daha fazla farkına varıyor.

Bu büyüyen listeye en son eklenen ise Cado Security tarafından tanımlanan bir kötü amaçlı yazılım hizmeti (MaaS) olan Cthulhu Stealer oldu.

DÖRT

Aylık 500 dolara kiralanabilen bu kötü amaçlı yazılım, macOS kullanıcılarını hedef alıyor ve hassas verileri çalmayı amaçlıyor. Bu makale, Cthulhu Stealer’ın işleyişini, operatörlerini ve macOS güvenliği için etkilerini araştırıyor.

Cthulhu Stealer’ın Teknik Analizi

Cthulhu Stealer, hem x86_64 hem de ARM mimarileri için ikili dosyalar içeren bir Apple disk görüntüsü (DMG) olarak dağıtılır. GoLang’da yazılan kötü amaçlı yazılım, meşru yazılım gibi görünür.

Kullanıcı DMG’yi bağladığında, macOS komut satırı aracı osascript’i kullanarak kullanıcının parolasını isteyen yazılımı açması istenir.

Bağlandığında disk görüntüsünün ekran görüntüsü
Bağlandığında disk görüntüsünün ekran görüntüsü

Kullanıcılar parolalarını girdiklerinde, MetaMask parolalarını girmeleri istenir. Kötü amaçlı yazılım, kimlik bilgilerini metin dosyalarında depolamak için /Users/Shared/NW dizininde bir dizin oluşturur.

Keychain parolalarını dökmek için Chainbreak’i kullanır ve bunları Keychain.txt’de depolar. Çalınan veriler daha sonra bir zip arşivinde arşivlenir ve yeni günlükler hakkında operatörleri uyarmak için bir komuta ve kontrol (C2) sunucusuna bir bildirim gönderilir.

Kötü amaçlı yazılım, IP ayrıntıları, işletim sistemi sürümü ve donanım özellikleri de dahil olmak üzere sistem bilgilerini topluyor ve bunları metin dosyalarında depoluyor.

Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN -14-day free trial

Sahtecilik ve Veri Hırsızlığı

Cthulhu Stealer, CleanMyMac, Grand Theft Auto IV ve Adobe GenP gibi popüler yazılımların disk görüntülerini taklit eder. Birincil işlevi, oyun hesapları da dahil olmak üzere çeşitli kaynaklardan kimlik bilgilerini ve kripto para cüzdanlarını çalmaktır.

Kötü amaçlı yazılım, Library/Application Support/ dizinindeki kurulum klasörlerini kontrol eder.[file store] ve içeriklerini metin dosyalarına döker.

Şifre İstemi
Şifre İstemi

Kötü amaçlı yazılım, tarayıcı çerezleri, Coinbase ve MetaMask cüzdanları ve Telegram hesap bilgileri dahil olmak üzere çok çeşitli verileri hedef alıyor. Çalınan verilerin kapsamlı bir listesi şunları içerir:

  • Tarayıcı Çerezleri
  • Kripto Para Cüzdanları (örneğin, MetaMask, Coinbase, Wasabi)
  • Oyun Hesap Bilgileri (örneğin, BattleNet)
  • Anahtarlık ve SafeStorage Parolaları

Atomic Stealer ile Karşılaştırma

Cthulhu Stealer, macOS’u hedef alan başka bir bilgi hırsızı olan Atomic Stealer ile benzerlikler taşır. Her ikisi de GoLang’da yazılmıştır ve kullanıcılardan parola istemek için osascript kullanır.

Atomic Stealer Telegram’da aylık 1000 dolara satılıyor ve Cthulhu Stealer’ın geliştiricisinin Atomic Stealer’ın kodunu değiştirmiş olabileceği anlaşılıyor. İşlevsellikteki benzerlikler ve hatta yazım hataları ikisi arasında yakın bir bağlantı olduğunu gösteriyor.

Cthulhu Stealer’ın Arkasındaki Operatörler

“Cthulhu Ekibi” olarak bilinen Cthulhu Stealer’ın geliştiricileri ve iştirakleri, esas olarak Telegram üzerinden faaliyet göstermektedir. Çalıcı ayda 500 dolara kiralanmaktadır ve iştirakler, dağıtım başarılarına göre kazançlarını paylaşırlar.

Cado Security, Cthulhu Stealer’ı iki iyi bilinen kötü amaçlı yazılım pazarında buldu; bu pazarlarda reklamı yapıldı ve duyuruldu.

Osascript kullanıcıdan şifre istiyor
Osascript kullanıcıdan şifre istiyor

2024’te, iştirakçiler önde gelen operatör “Cthulhu” veya “Balaclavv” hakkında ödeme yapılmaması nedeniyle şikayette bulundular. Dolandırıcılık suçlamaları Cthulhu’nun pazaryerinden kalıcı olarak yasaklanmasına yol açtı.

MetaMask için şifre istemi
MetaMask için şifre istemi

Cthulhu Stealer gibi macOS’u hedef alan kötü amaçlı yazılımların yükselişi, siber güvenlikte dikkatli olmanın önemini vurguluyor. Cthulhu Ekibi artık aktif olmasa da macOS kullanıcılarına yönelik tehdit devam ediyor.

Bu tür tehditlere karşı korunmak için kullanıcıların şunları yapması gerekir:

  • Yazılımları yalnızca Apple App Store gibi güvenilir kaynaklardan indirin.
  • Gatekeeper gibi macOS’un yerleşik güvenlik özelliklerini etkinleştirin.
  • Sistemleri ve uygulamaları en son güvenlik yamalarıyla güncel tutun.
  • Ek koruma için güvenilir bir antivirüs yazılımı kullanmayı düşünün.

macOS kullanıcıları, bilgi sahibi olarak ve proaktif önlemler alarak kötü amaçlı yazılımlara maruz kalma riskini önemli ölçüde azaltabilir ve sistemlerinin güvenli kalmasını sağlayabilirler.

Uzlaşma Göstergeleri

Dosya adı sha256
Başlat.dmg 6483094f7784c424891644a85d5535688c8969666e16a194d397dc66779b0b12
GTAIV_ErkenErişim_MACOS_Sürümü.dmg e3f1e91de8af95cd56ec95737669c3512f90cecbc6696579ae2be349e30327a7
AdobeGenP.dmg f79b7cbc653696af0dbd867c0a5d47698bcfc05f63b665ad48018d2610b7e97b
Kurulum2024.dmg de33b7fb6f3d77101f81822c58540c87bd7323896913130268b9ce24f8c61e24
TemizMyMac.dmg 96f80fef3323e5bc0ce067cd7a93b9739174e29f786b09357125550a033b0288

Protect Your Business with Cynet Managed All-in-One Cybersecurity Platform – Try Free Trial



Source link