Siber güvenlik araştırmacıları, Apple macOS ana bilgisayarlarını hedef almak ve çok çeşitli bilgileri toplamak üzere tasarlanmış yeni bir bilgi hırsızını ortaya çıkardı. Bu, tehdit aktörlerinin giderek daha fazla işletim sistemine yöneldiğini gösteriyor.
Cthulhu Stealer olarak adlandırılan kötü amaçlı yazılım, 2023’ün sonlarından itibaren aylık 500 dolar karşılığında kötü amaçlı yazılım hizmeti (MaaS) modeli altında satışa sunuldu. Hem x86_64 hem de Arm mimarilerini hedef alabiliyor.
“Cthulhu Stealer, mimariye bağlı olarak iki ikili dosyayla birlikte gelen bir Apple disk görüntüsüdür (DMG),” dedi Cato Güvenlik araştırmacısı Tara Gould. “Kötü amaçlı yazılım Golang’da yazılmıştır ve meşru yazılım olarak kendini gizler.”
Taklit ettiği yazılım programlarından bazıları CleanMyMac, Grand Theft Auto IV ve Adobe GenP’dir. Bunlardan sonuncusu, Adobe uygulamalarını Creative Cloud hizmetini atlatacak şekilde yamalayan ve seri anahtarı olmadan etkinleştiren açık kaynaklı bir araçtır.
İmzalanmamış dosyayı çalıştırılmasına açıkça izin verdikten sonra (yani Gatekeeper korumalarını aşarak) dosyayı başlatan kullanıcılardan, Atomic Stealer, Cuckoo, MacStealer ve Banshee Stealer tarafından benimsenen osascript tabanlı bir teknik olan sistem parolalarını girmeleri istenir.
Sonraki adımda, MetaMask parolalarını girmeleri için ikinci bir istem sunulur. Cthulhu Stealer ayrıca sistem bilgilerini toplamak ve Chainbreaker adlı açık kaynaklı bir araç kullanarak iCloud Keychain parolalarını boşaltmak için tasarlanmıştır.
Çalınan veriler, web tarayıcısı çerezleri ve Telegram hesap bilgilerini de içeriyor ve sıkıştırılıp bir ZIP arşiv dosyasında saklandıktan sonra bir komuta ve kontrol (C2) sunucusuna sızdırılıyor.
Gould, “Cthulhu Stealer’ın temel işlevi, oyun hesapları da dahil olmak üzere çeşitli mağazalardan kimlik bilgilerini ve kripto para cüzdanlarını çalmaktır” dedi.
“Cthulhu Stealer’ın işlevselliği ve özellikleri Atomic Stealer’a çok benziyor, bu da Cthulhu Stealer geliştiricisinin muhtemelen Atomic Stealer’ı alıp kodu değiştirdiğini gösteriyor. Kullanıcıdan şifresini istemek için osascript kullanımı Atomic Stealer ve Cthulhu’da benzer, hatta aynı yazım hataları bile var.”
Kötü amaçlı yazılımın arkasındaki tehdit aktörlerinin artık aktif olmadığı söyleniyor. Bunun bir nedeni de, ödemeler konusunda yaşanan anlaşmazlıklar ve bu anlaşmazlıklar nedeniyle iştirakçiler tarafından çıkış dolandırıcılığı suçlamalarının yapılması ve bunun sonucunda ana geliştiricinin, hırsız yazılımın reklamını yapmak için kullanılan siber suç pazarından kalıcı olarak yasaklanması.
Cthulhu Stealer özellikle sofistike değil ve gizlice çalışmasına izin verebilecek anti-analiz tekniklerinden yoksun. Ayrıca, onu yeraltındaki diğer benzer tekliflerden ayıran herhangi bir göze çarpan özellikten de yoksun.
macOS’a yönelik tehditler Windows ve Linux’a kıyasla çok daha az yaygın olsa da, kullanıcıların yalnızca güvenilir kaynaklardan yazılım indirmeleri, doğrulanmamış uygulamaları yüklemekten uzak durmaları ve sistemlerini en son güvenlik güncellemeleriyle güncel tutmaları öneriliyor.
macOS’taki kötü amaçlı yazılımlardaki artış Apple’ın da dikkatinden kaçmadı. Şirket, bu ayın başlarında işletim sisteminin bir sonraki sürümü için, doğru şekilde imzalanmamış veya noter tasdikli olmayan yazılımları açmaya çalışırken daha fazla zorluk çıkarmayı amaçlayan bir güncelleme duyurdu.
Apple, “macOS Sequoia’da kullanıcılar artık doğru şekilde imzalanmamış veya noter tasdikli olmayan yazılımları açarken Gatekeeper’ı geçersiz kılmak için Control tuşuna basarak tıklayamayacaklar” dedi. “Yazılımın çalışmasına izin vermeden önce güvenlik bilgilerini incelemek için Sistem Ayarları > Gizlilik ve Güvenlik’i ziyaret etmeleri gerekecek.”