تستهدف البرامج الضارة الجديدة لنظام التشغيل MacOS “Cthulhu Stealer” بيانات مستخدمي Apple
اكتشف باحثو الأمن السيبراني أداة جديدة لسرقة المعلومات مصممة لاستهداف مضيفي نظام التشغيل Apple macOS وجمع مجموعة واسعة من المعلومات، مما يؤكد كيف تضع الجهات الفاعلة في مجال التهديد أنظارها بشكل متزايد على نظام التشغيل.
تم توفير البرنامج الضار، الذي يطلق عليه اسم Cthulhu Stealer، ضمن نموذج البرامج الضارة كخدمة (MaaS) مقابل 500 دولار شهريًا اعتبارًا من أواخر عام 2023. وهو قادر على استهداف بنيات x86_64 وArm.
“Cthulhu Stealer عبارة عن صورة قرص Apple (DMG) مجمعة مع ملفين ثنائيين، اعتمادًا على البنية،” باحثة Cato Security، تارا جولد قال. “البرامج الضارة مكتوبة بلغة Golang وتتنكر في صورة برامج شرعية.”
وتشمل بعض البرامج التي تقلدها CleanMyMac، وGrand Theft Auto IV، وAdobe GenP، وآخرها أداة مفتوحة المصدر تقوم بتصحيح تطبيقات Adobe لتجاوز خدمة Creative Cloud وتنشيطها بدون مفتاح تسلسلي.
تتم مطالبة المستخدمين الذين ينتهي بهم الأمر إلى تشغيل الملف غير الموقع بعد السماح صراحةً بتشغيله – أي تجاوز حماية Gatekeeper – بإدخال كلمة مرور النظام الخاصة بهم، وهي تقنية تعتمد على osascript تم اعتمادها من قبل Atomic Stealer وCuckoo وMacStealer وBanshee Stealer. .
في الخطوة التالية، يتم تقديم مطالبة ثانية لإدخال كلمة مرور MetaMask الخاصة بهم. تم تصميم Cthulhu Stealer أيضًا لجمع معلومات النظام وتفريغ كلمات مرور iCloud Keychain باستخدام أداة مفتوحة المصدر تسمى قاطع السلسلة.
يتم ضغط البيانات المسروقة، والتي تشتمل أيضًا على ملفات تعريف الارتباط لمتصفح الويب ومعلومات حساب Telegram، وتخزينها في ملف أرشيف ZIP، وبعد ذلك يتم تحويلها إلى خادم الأوامر والتحكم (C2).
وقال جولد: “الوظيفة الرئيسية لـ Cthulhu Stealer هي سرقة بيانات الاعتماد ومحافظ العملات المشفرة من متاجر مختلفة، بما في ذلك حسابات الألعاب”.
“إن وظائف وميزات Cthulhu Stealer متشابهة جدًا مع سارق الذريةمما يشير إلى أن مطور Cthulhu Stealer ربما أخذ Atomic Stealer وقام بتعديل الكود. إن استخدام osascript لمطالبة المستخدم بإدخال كلمة المرور الخاصة به مماثل في Atomic Stealer وCthulhu، حتى أنه يتضمن نفس الأخطاء الإملائية.”
ويقال إن الجهات الفاعلة التي تقف وراء البرمجيات الخبيثة لم تعد نشطة، ويرجع ذلك جزئيًا إلى النزاعات حول المدفوعات التي أدت إلى اتهامات بالخروج من عملية احتيال من قبل الشركات التابعة، مما أدى إلى حظر المطور الرئيسي بشكل دائم من سوق الجرائم الإلكترونية المستخدم للإعلان عن السارق.
Cthulhu Stealer ليس متطورًا بشكل خاص ويفتقر إلى تقنيات مكافحة التحليل التي قد تسمح له بالعمل خلسة. كما أنها تفتقر إلى أي ميزة بارزة تميزها عن العروض المماثلة الأخرى الموجودة تحت الأرض.
في حين أن التهديدات التي يتعرض لها نظام التشغيل macOS أقل انتشارًا بكثير من تلك التي تهدد نظامي التشغيل Windows وLinux، يُنصح المستخدمون بتنزيل البرامج من مصادر موثوقة فقط، والابتعاد عن تثبيت التطبيقات التي لم يتم التحقق منها، وإبقاء أنظمتهم محدثة بأحدث التحديثات الأمنية.
لم تمر الزيادة في البرامج الضارة لنظام التشغيل MacOS دون أن تلاحظها شركة Apple، التي أعلنت في وقت سابق من هذا الشهر عن تحديث لإصدارها التالي من نظام التشغيل الذي يهدف إلى إضافة المزيد من الاحتكاك عند محاولة فتح البرامج التي لم يتم توقيعها بشكل صحيح أو موثقة.
قالت شركة Apple: “في نظام macOS Sequoia، لن يتمكن المستخدمون بعد الآن من النقر مع الضغط على مفتاح Control لتجاوز برنامج Gatekeeper عند فتح برنامج لم يتم توقيعه بشكل صحيح أو موثق”. “سيحتاجون إلى زيارة إعدادات النظام > الخصوصية والأمان لمراجعة معلومات الأمان الخاصة بالبرنامج قبل السماح بتشغيله.”
إرسال التعليق