Cado Security
MacOS平臺向來被認為比較少惡意軟體,但現今已漸漸吸引駭客注意力。資安業者Cado Security發現一款惡意程式Cthulhu Stealer,專門鎖定macOS電腦用戶竊取密碼、cookies或其他敏感資訊。
Cthulhu Stealer(或簡稱Cthulhu)為一惡意程式即服務(malware-as-a-service,MaaS),是由一個代號Cthulhu或Balaclavv的用戶在Telegram頻道及二個暗網交易市集兜售,以每月500美元提供服務,由其開發人員和同夥向macOS用戶發動攻擊。Cthulhu是2023年底現身,並在今年頭幾個月內開始活動。
Cthulhu本身是一種Apple磁碟映像檔(DMG檔),視架構而定,可附加於2種二進位檔。它以GoLang寫成,可偽裝成合法軟體。研究人員發現它曾經冒充過合法軟體如硬碟清理工具CleanMyMac、遊戲軟體Grand Theft Auto IV以及Adobe GenP,誘使用戶下載。
一旦用戶下載安裝.dmg檔,它會要求用戶開啟檔案,並啟動macOS的指令行工具osascript就會接連要求用戶輸入它想竊取的敏感資訊,包括cookies、帳號或電子錢包密碼。研究人員歸納Cthulhu的竊取目標包含Chrome與Firefox瀏覽器cookies、Telegram密碼、Apple Keychain、SafeStorage、Minecraft帳號以及十多種電子錢包應用如Chrome Extension Wallet、MetaMask、XDeFI、Coinbase或Blockchain Wallet等等。
研究人員並公布了Cthulhu的Yara偵測規則,以及該惡意程式安裝時會在用戶電腦/Users/Shared/NW路徑下建立資料夾。
Cthulhu是資安專家發現最新一隻攻擊Mac電腦用戶的竊密程式。從早期的KeRanger和Silver Sparrow開始逐漸增多。今年資安業者SentinelOne發現竊資軟體KeySteal、Atomic Stealer、CherryPie,都能繞過macOS作業系統的防護機制XProtect竊取用戶敏感資料。
熱門新聞
2024-11-18
2024-11-12
2024-11-20
2024-11-15
2024-11-15
2024-11-19