一个新的信息窃取者正试图利用 macOS 环境中的一些固有安全缺陷,利用地球上最流行的恶意软件工具之一的尾随。
在一篇新的博客文章中,Cado Security讨论了“克苏鲁窃贼”,这是一种最近流行的新网络犯罪工具。它旨在获取加密货币钱包和游戏凭据,以及浏览器数据。它不是特别复杂,也许是因为它不必如此。Atomic Stealer——克苏鲁的祖先——已经证明了这一点。在过去的几年里,这种基本上普通的窃取程序已成为全球最流行的恶意软件之一。专家认为,这可能与安全社区过去忽视Mac的一些方式有关。
案例研究:克苏鲁偷窃者
Cthulhu Stealer 是用 Golang 编写的 Apple 磁盘映像 (DMG)。它通常会出现在受害者的眼球前,伪装成合法的软件程序,例如 CleanMyMac 维护工具或侠盗猎车手视频游戏。
打开后,该程序会要求提供受害者的系统密码,并且不合逻辑地要求提供他们的 Metamask 加密货币钱包密码。
“对用户来说,它应该看起来很可疑,但有时人们下载东西时,他们可能不会思考,”Cado Security的威胁研究员Tara Gould指出。特别是克苏鲁的目标人群,“他们可能更年轻,或者可能不那么精通计算机。有很多原因可以解释为什么它可能不会被标记为可疑。
一旦植入,该程序就会收集系统数据,例如其 IP 地址、操作系统版本以及各种硬件和软件信息。然后,它追求其真正的目标:加密货币、游戏帐户和浏览器凭据。有针对性的应用程序包括 Coinbase、Binance 和 Atomic 加密钱包、Firefox cookie 以及 Battle.net 和 Minecraft 用户数据。
尽管在网络犯罪论坛上的运行价格为每月 500 美元,但 Cthulhu Stealer 基本上并不复杂,没有任何出色的隐身技术,并且与地下至少一种其他商业可用产品几乎没有区别。
Atomic Stealer 铺设的道路
Cthulhu Stealer 最显着的特点是它非常接近地复制 Atomic Stealer。它们不仅具有许多相同的功能和特性,而且 Cthulhu Stealer 甚至在 Atomic Stealer 的代码中包含了一些相同的拼写错误。
Atomic Stealer 本身并不那么引人注目。此前,Dark Reading 指出它缺乏持久性机制,并将其描述为本质上的“砸抢”。不过,难怪其他恶意软件作者可能想要复制它,因为它是当今世界上最成功的信息窃取者之一。
在上个月的一份报告中,Red Canary 将其列为当今第六大最流行的恶意软件,与流行的 SocGholish 和 Lumma 以及无处不在的 Cobalt Strike 并列。它的第六名实际上比之前的 Red Canary 报告下降了一步,到目前为止,Red Canary 报告已将 Atomic Stealer 列入其 2024 年全年的前 10 名名单。
“任何 macOS 威胁都会进入前 10 名,这一事实非常令人震惊,”Red Canary 的首席信息安全专家 Brian Donohue 指出。“我冒昧地猜测,任何对macOS设备有重要影响的组织都可能在其环境中的某个地方潜伏着Atomic Stealer。”
企业应如何处理 macOS 威胁
与 Windows 和 Linux 相比,对 macOS 的威胁明显不那么常见,Elastic 2022 年和 2023 年的数据显示,在这些系统上可以找到所有恶意软件中只有 6% 左右。
“Windows仍然是最大的目标,因为大公司往往仍然非常依赖Windows,但这种情况正在发生变化。许多企业开始增加他们拥有的 Mac 数量,因此这肯定会成为一个更大的问题,“Gould 说。
黑客还没有全部加入这一行列,但人们的兴趣越来越大,也许是因为防御者的兴趣太少了。
Elastic 威胁和安全情报主管 Jake King 在给 Dark Reading 的一封电子邮件中表示,在过去一年中,针对 Mac 的威胁增加了不到 1%,并补充说:“虽然我们没有观察到表明企业针对 MacOS 的显着增长模式,但这可能归因于从此操作系统获取的遥测数据量较少。在日历年中,我们观察到几种利用漏洞的新方法,这些方法表明许多活动都存在对抗性兴趣。换句话说:数据可能表明攻击者或防御者对macOS缺乏兴趣。
如果像Atomic Stealer这样的失控成功确实激发了更多的黑客移动操作系统,那么由于安全社区多年来的不感兴趣,防御者将处于不利地位。
正如 Donohue 所解释的那样,“许多企业为工程师和管理员采用 macOS 系统,因此默认情况下,许多使用 macOS 机器的人要么拥有高特权,要么处理敏感信息。我怀疑的是,这些组织在macOS威胁方面的专业知识较少。
此外,还需要减少使用的工具,Donohue 补充道。“以EDR之类的东西为例。这些最初是作为保护 Windows 系统的工具,后来被选为保护 macOS 系统的工具。Windows 机器具有非常强大的应用程序控制策略,但 macOS Gatekeeper(大致类似于 Windows Defender)中没有真正类似的功能。它非常擅长查找恶意二进制文件并为它们创建YARA规则和签名,但许多恶意软件开发人员已经能够避开它。
Elastic 的 King 补充道,“默认操作系统控制虽然有效,但可能不会随着对抗行为的发展速度而发展。出于这个原因,King 说:“确保合理的访问权限、足够的强化控制以及允许组织观察或预防 macOS 系统上的威胁的工具仍然很重要。