Son yıllarda, macOS sistemlerinin kötü amaçlı yazılımlara karşı bağışık olduğuna dair inanç giderek daha fazla sorgulanıyor. Silver Sparrow, KeRanger ve Atomic Stealer gibi tehditlerin ortaya çıkmasıyla, macOS kullanıcıları sistemlerindeki güvenlik açıklarının daha fazla farkına varıyor.
Bu büyüyen listeye en son eklenen ise Cado Security tarafından tanımlanan bir kötü amaçlı yazılım hizmeti (MaaS) olan Cthulhu Stealer oldu.
Aylık 500 dolara kiralanabilen bu kötü amaçlı yazılım, macOS kullanıcılarını hedef alıyor ve hassas verileri çalmayı amaçlıyor. Bu makale, Cthulhu Stealer’ın işleyişini, operatörlerini ve macOS güvenliği için etkilerini araştırıyor.
Cthulhu Stealer’ın Teknik Analizi
Cthulhu Stealer, hem x86_64 hem de ARM mimarileri için ikili dosyalar içeren bir Apple disk görüntüsü (DMG) olarak dağıtılır. GoLang’da yazılan kötü amaçlı yazılım, meşru yazılım gibi görünür.
Kullanıcı DMG’yi bağladığında, macOS komut satırı aracı osascript’i kullanarak kullanıcının parolasını isteyen yazılımı açması istenir.
Kullanıcılar parolalarını girdiklerinde, MetaMask parolalarını girmeleri istenir. Kötü amaçlı yazılım, kimlik bilgilerini metin dosyalarında depolamak için /Users/Shared/NW dizininde bir dizin oluşturur.
Keychain parolalarını dökmek için Chainbreak’i kullanır ve bunları Keychain.txt’de depolar. Çalınan veriler daha sonra bir zip arşivinde arşivlenir ve yeni günlükler hakkında operatörleri uyarmak için bir komuta ve kontrol (C2) sunucusuna bir bildirim gönderilir.
Kötü amaçlı yazılım, IP ayrıntıları, işletim sistemi sürümü ve donanım özellikleri de dahil olmak üzere sistem bilgilerini topluyor ve bunları metin dosyalarında depoluyor.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN -14-day free trial
Sahtecilik ve Veri Hırsızlığı
Cthulhu Stealer, CleanMyMac, Grand Theft Auto IV ve Adobe GenP gibi popüler yazılımların disk görüntülerini taklit eder. Birincil işlevi, oyun hesapları da dahil olmak üzere çeşitli kaynaklardan kimlik bilgilerini ve kripto para cüzdanlarını çalmaktır.
Kötü amaçlı yazılım, Library/Application Support/ dizinindeki kurulum klasörlerini kontrol eder.[file store] ve içeriklerini metin dosyalarına döker.
Kötü amaçlı yazılım, tarayıcı çerezleri, Coinbase ve MetaMask cüzdanları ve Telegram hesap bilgileri dahil olmak üzere çok çeşitli verileri hedef alıyor. Çalınan verilerin kapsamlı bir listesi şunları içerir:
- Tarayıcı Çerezleri
- Kripto Para Cüzdanları (örneğin, MetaMask, Coinbase, Wasabi)
- Oyun Hesap Bilgileri (örneğin, BattleNet)
- Anahtarlık ve SafeStorage Parolaları
Atomic Stealer ile Karşılaştırma
Cthulhu Stealer, macOS’u hedef alan başka bir bilgi hırsızı olan Atomic Stealer ile benzerlikler taşır. Her ikisi de GoLang’da yazılmıştır ve kullanıcılardan parola istemek için osascript kullanır.
Atomic Stealer Telegram’da aylık 1000 dolara satılıyor ve Cthulhu Stealer’ın geliştiricisinin Atomic Stealer’ın kodunu değiştirmiş olabileceği anlaşılıyor. İşlevsellikteki benzerlikler ve hatta yazım hataları ikisi arasında yakın bir bağlantı olduğunu gösteriyor.
Cthulhu Stealer’ın Arkasındaki Operatörler
“Cthulhu Ekibi” olarak bilinen Cthulhu Stealer’ın geliştiricileri ve iştirakleri, esas olarak Telegram üzerinden faaliyet göstermektedir. Çalıcı ayda 500 dolara kiralanmaktadır ve iştirakler, dağıtım başarılarına göre kazançlarını paylaşırlar.
Cado Security, Cthulhu Stealer’ı iki iyi bilinen kötü amaçlı yazılım pazarında buldu; bu pazarlarda reklamı yapıldı ve duyuruldu.
2024’te, iştirakçiler önde gelen operatör “Cthulhu” veya “Balaclavv” hakkında ödeme yapılmaması nedeniyle şikayette bulundular. Dolandırıcılık suçlamaları Cthulhu’nun pazaryerinden kalıcı olarak yasaklanmasına yol açtı.
Cthulhu Stealer gibi macOS’u hedef alan kötü amaçlı yazılımların yükselişi, siber güvenlikte dikkatli olmanın önemini vurguluyor. Cthulhu Ekibi artık aktif olmasa da macOS kullanıcılarına yönelik tehdit devam ediyor.
Bu tür tehditlere karşı korunmak için kullanıcıların şunları yapması gerekir:
- Yazılımları yalnızca Apple App Store gibi güvenilir kaynaklardan indirin.
- Gatekeeper gibi macOS’un yerleşik güvenlik özelliklerini etkinleştirin.
- Sistemleri ve uygulamaları en son güvenlik yamalarıyla güncel tutun.
- Ek koruma için güvenilir bir antivirüs yazılımı kullanmayı düşünün.
macOS kullanıcıları, bilgi sahibi olarak ve proaktif önlemler alarak kötü amaçlı yazılımlara maruz kalma riskini önemli ölçüde azaltabilir ve sistemlerinin güvenli kalmasını sağlayabilirler.
Uzlaşma Göstergeleri
Dosya adı | sha256 |
Başlat.dmg | 6483094f7784c424891644a85d5535688c8969666e16a194d397dc66779b0b12 |
GTAIV_ErkenErişim_MACOS_Sürümü.dmg | e3f1e91de8af95cd56ec95737669c3512f90cecbc6696579ae2be349e30327a7 |
AdobeGenP.dmg | f79b7cbc653696af0dbd867c0a5d47698bcfc05f63b665ad48018d2610b7e97b |
Kurulum2024.dmg | de33b7fb6f3d77101f81822c58540c87bd7323896913130268b9ce24f8c61e24 |
TemizMyMac.dmg | 96f80fef3323e5bc0ce067cd7a93b9739174e29f786b09357125550a033b0288 |
Protect Your Business with Cynet Managed All-in-One Cybersecurity Platform – Try Free Trial