Cthulhu Stealer มัลแวร์ใหม่บน MacOS ถูกพบเห็นครั้งแรกในช่วงปลายปี 2023 และถูกขายเป็นบริการบนเว็บมืดในราคา 500 ดอลลาร์ต่อเดือน ฟังก์ชันหลักของมัลแวร์ที่เป็นอันตรายนี้คือการแยกข้อมูลที่ละเอียดอ่อนออกจากเครื่อง Mac ที่ติดไวรัสเช่น คุกกี้ของเบราว์เซอร์ รหัสผ่านระบบ รหัสผ่านที่บันทึกจาก iCloud Keychain กระเป๋าเงินสกุลเงินดิจิทัลจากร้านค้าต่างๆ รวมถึงบัญชีเกม ข้อมูลเบราว์เซอร์เว็บ และแม้แต่ข้อมูลบัญชี Telegram Tdata
Cthulhu Stealer คือดิสก์อิมเมจของ Apple (DMG) ที่รวมไฟล์ไบนารีสองตัวที่ออกแบบมาสำหรับสถาปัตยกรรม x86_64 และ ARM โดยเขียนด้วย GoLang และปลอมตัวเป็นซอฟต์แวร์ที่ถูกกฎหมาย โดยเลียนแบบแอปพลิเคชันยอดนิยมเช่น CleanMyMac, Grand Theft Auto VI และ Adobe GenP นักวิจัยของ Cato Security เขียนไว้ใน รายงาน Cado Security ฉบับล่าสุด
วิธีการทำงานของมัลแวร์ Cthulhu Stealer
- การติดตั้ง: ผู้ใช้จะได้รับไฟล์ DMG ที่ปลอมตัวเป็นซอฟต์แวร์ที่ถูกต้องตามกฎหมาย
- หลอกลวงให้ป้อนรหัสผ่าน: เมื่อเปิดไฟล์ ผู้ใช้จะถูกขอให้ป้อนรหัสผ่านระบบและรหัสผ่าน MetaMask
- ขโมยข้อมูล: มัลแวร์จะขโมยข้อมูลสำคัญ เช่น คุกกี้ของเบราว์เซอร์ รหัสผ่านระบบ รหัสผ่าน iCloud Keychain กระเป๋าเงินดิจิทัล และข้อมูลอื่นๆ
- ส่งข้อมูลออกนอกระบบ: ข้อมูลที่ขโมยได้จะถูกบีบอัดและส่งไปยังเซิร์ฟเวอร์ของผู้โจมตี
มัลแวร์ยังออกแบบมาเพื่อถ่ายโอนรหัสผ่าน iCloud Keychain ลงใน Keychain.txt โดยใช้เครื่องมือโอเพ่นซอร์สChainbreak ข้อมูลที่ขโมยมาจะถูกบีบอัดและเก็บไว้ในไฟล์เก็บถาวร ZIP หลังจากนั้นข้อมูลดังกล่าวจะถูกแยกออกไปยังเซิร์ฟเวอร์คำสั่งและควบคุม (C2) ที่ควบคุมโดยผู้โจมตี
เมื่อมัลแวร์ Cthulhu Stealer เข้าถึงได้ มันจะสร้างไดเรกทอรีใน ‘/Users/Shared/NW’ พร้อมข้อมูลประจำตัวที่ขโมยมาซึ่งเก็บไว้ในไฟล์ข้อความ จากนั้นมันจะทำการเก็บลายนิ้วมือในระบบของเหยื่อ โดยรวบรวมข้อมูลต่างๆ เช่น ที่อยู่ IP ชื่อระบบ เวอร์ชันระบบปฏิบัติการ ฮาร์ดแวร์ และข้อมูลซอฟต์แวร์
“ฟังก์ชันการทำงานและคุณสมบัติของ Cthulhu Stealer นั้นคล้ายคลึงกับ Atomic Stealer มาก ซึ่งบ่งชี้ว่าผู้พัฒนา Cthulhu Stealer อาจนำ Atomic Stealer ไปดัดแปลงโค้ด การใช้ osascript เพื่อขอให้ผู้ใช้ป้อนรหัสผ่านนั้นคล้ายคลึงกันใน Atomic Stealer และ Cthulhu แม้ว่าจะมีข้อผิดพลาดในการสะกดเหมือนกันก็ตาม”
อย่างไรก็ตาม รายงานระบุว่าผู้ก่อภัยคุกคามที่อยู่เบื้องหลัง Cthulhu Stealer อาจยุติการดำเนินงานแล้ว โดยรายงานระบุว่าเกิดจากข้อพิพาทเรื่องการชำระเงิน และถูกกล่าวหาว่าเป็นพวกหลอกลวงหรือมีส่วนร่วมในการหลอกลวงเพื่อออกจากตลาด ส่งผลให้ถูกแบนถาวรจากตลาดที่โปรโมตมัลแวร์ดังกล่าว
แม้ macOS ขึ้นชื่อว่าเป็นระบบที่ปลอดภัย แต่การโจมตีด้วยมัลแวร์ที่กำหนดเป้าหมายผู้ใช้ Mac ยังคงเป็นปัญหาความปลอดภัยที่เพิ่มมากขึ้น เพื่อป้องกันภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้น ผู้ใช้ควรดาวน์โหลดซอฟต์แวร์จากแหล่งที่เชื่อถือได้ และควรเปิดใช้คุณสมบัติความปลอดภัยในตัวของ macOS เช่น Gatekeeper อัปเดตระบบและแอปด้วยแพตช์ความปลอดภัยล่าสุด และพิจารณาใช้ซอฟต์แวร์ป้องกันไวรัสที่มีชื่อเสียงน่าเชื่อถือเพื่อเพิ่มระดับการป้องกันออกจากเครื่องของคุณ
อ้างอิง TheHackerNews cover Apple
อ่านบทความและข่าวอื่นๆเพิ่มเติมได้ที่ it24hrs.com
Cthulhu Stealer มัลแวร์ใหม่บน MacOS เลียนแบบแอปถูกกฎหมาย ระวังโดนขโมยข้อมูล
อย่าลืมกดติดตามอัพเดตข่าวสาร ทิปเทคนิคดีๆกันนะคะ Please follow us
Youtube it24hrs
Twitter it24hrs
Tiktok it24hrs
facebook it24hrs
