вредоносное ПО, которое крадет ваши криптовалюты на Mac

Вредоносное ПО под названием Cthulhu — это недавняя угроза, которая затрагивает пользователей MacOS и имеет особенность, о которой вы, возможно, догадались, прочитав заголовок статьи: оно создано специально для кражи криптовалют.

Это вредоносное ПО нацелено на криптовалютные кошельки, хранящиеся в затронутых системах, и способно извлекать конфиденциальную информацию, такую ​​как закрытые ключи и учетные данные, которую можно использовать для опустошения криптовалютных кошельков жертв.

Итак, если вы хотите узнать немного больше о Ктулху, о том, что он делает, как устроен и, прежде всего, как с ним можно бороться, мы советуем вам продолжить чтение этого поста, где мы предоставим вам все подробности. Вот так!

Особенности вредоносного ПО Cthulhu

В отличие от многих других типов вредоносных программ, которые обычно нацелены на системы Windows или Android, Cthulhu был разработан специально для атак на пользователей MacOS — платформы, которая традиционно считается более безопасной и менее подверженной заражению вредоносным ПО.

И, как мы указывали в других случаях, тот факт, что macOS — это платформа с меньшим количеством пользователей, не делает ее неуязвимой и Увеличение доли рынка имеет свои отрицательные сторонынапример, вызывая интерес злоумышленников.

Цель Ктулху

Чтобы украсть ваши криптовалюты, вредоносное ПО ищет кошельки, которые вы сохранили локально на зараженном устройстве.

Как только вы их найдете, Ктулху извлекает закрытые ключи и другую важную информацию, позволяющую злоумышленникам переводить средства на свои счета. а поскольку криптовалюты — это нечто, не поддающееся контролю и практически не отслеживаемое… воровство будет покрыто.

Как распространяется это вредоносное ПО

Точный метод распространения Cthulhu не совсем ясен, но, как и многие другие типы вредоносных программ, он может распространяться через вредоносные вложения в электронную почту, загрузки пиратского или поддельного программного обеспечения, взломанные веб-сайты или путем использования уязвимостей в программном обеспечении операционной системы.

В частности, ходят слухи, что распространялся как «кряки» популярных игр таких как Diablo, World of Warcraft или Minecraft, а также спрятаны в некоторых их модах, а также в версии CleanMyMacX «Джек Воробей».

Но антивирус сможет обнаружить Ктулху, верно?

Давайте будем честными: это вредоносное ПО легко распространяется из-за относительно низкого уровня распространения программного обеспечения безопасности для macOS. Но мы предполагаем, что вы являетесь постоянным читателем SoydeMac и прислушиваетесь к нашим советам по безопасности. нет?

Но даже приличному антивирусу сложно обнаружить вредоносное ПО, так как кажется, что Ктулху обладает определенными продвинутыми способностями уклонения, позволяющими избежать обнаружения. с помощью антивирусного и защитного программного обеспечения на macOS, включая такие методы, как шифрование вашего кода, использование механизмов обфускации или использование законных разрешений, чтобы избежать возникновения подозрений.

Давайте задумаемся: как они родили Ктулху?

Замечательно, что вы уже знаете, что представляет собой это вредоносное ПО, но здесь мы собираемся дать вам еще несколько подсказок о том, как устроено вредоносное ПО, чтобы вы знали, что ищете, когда увидите этого лавкрафтовского зверя на своем Mac.

Язык программирования Ктулху: программная химера

Не имея перед собой исходного кода, мы считаем, что вполне вероятно, что Ктулху написан на Objective-C или Swift.языки программирования, которые чаще всего используются для разработки приложений в macOS, что позволит ему глубоко интегрироваться с операционной системой и обойти собственные методы обнаружения вредоносных программ.

Хотя также вы можете использовать части на C или C++ для разделов, которые требуют выполнения ближе к системе.такие как управление памятью или манипулирование системными файлами, поскольку они являются языками, на которых монтируются эти службы.

Понимание вредоносного ПО: вирус состоит из небольших модулей

Вредоносную программу можно разделить на несколько модулей, каждый из которых выполняет определенную функцию:

Модуль первичного заражения

Этот модуль отвечает за выполнение вредоносного кода в системе жертвы, который может воспользоваться уязвимостями в сторонних приложениях или обманом заставить пользователя запустить, казалось бы, безобидный файл (например, PDF-файл или установщик пиратской игры), чтобы войти в систему.

Модуль постоянства

После запуска вредоносной программы этот модуль гарантирует, что она останется в системе даже после перезагрузки. Чтобы добиться постоянства, Ктулху мог изменить файлы конфигурации системы.

И внутри этого войдет установить сценарии запуска в каталоги запуска macOS (/Library/LaunchDaemons или /Library/LaunchAgents) или используйте методы внедрения процессов для работы внутри процессов законность системы.

Модуль уклонения

Чтобы избежать обнаружения, Ктулху мог использовать различные методы уклонения, такие как:

• Шифрование и обфускация: зашифровать части кода, чтобы предотвратить их распознавание антивирусными ядрами. Здесь у нас также есть возможность запутать ваш код так, чтобы аналитикам было трудно его читать и понимать.
• Отключение безопасности: Попробуйте отключить функции безопасности системы, такие как Gatekeeper или XProtect, которые являются встроенной защитой MacOS.
• Мониторинг охранной деятельности: Обнаруживайте выполнение инструментов безопасности и временно отключайте их вредоносную активность, чтобы избежать обнаружения.

Модуль сбора информации: ключ к краже криптовалют

Благодаря этому модулю вирус сканирует систему на наличие файлов с известных криптовалютных кошельков (например, файлы конфигурации приложения, такие как Электрум, Исходили подобное).

Как только вы их обнаружите, получает доступ к файлам кошелька и извлекает секретные ключи и начальные данные для восстановления, которые затем отправляются на сервер управления и контроля. (C2) контролируется злоумышленниками.

На этом этапе также вероятно будет наблюдаться наблюдение за буфером обмена macOS, где Ктулху сможет отслеживать буфер обмена на предмет адресов криптовалюты, скопированных пользователем. Обнаружив адрес кошелька, вредоносная программа может заменить его адресом злоумышленника, перенаправляя таким образом переводы криптовалюты на учетную запись злоумышленника, и мы получим все это вместе.

Модуль связи с сервером C2

Через безопасные протоколы, такие как HTTPS или WebSocket, вирус мог взаимодействовать с командным сервером, отправка украденных данных и получение новых инструкций, и все это связано с методами, усложняющими отслеживание, такими как использование прокси-серверов, шифрование трафика и частые изменения в доменах серверов C2.

Ктулху ясно дает понять одно: необходимо защищать

Хотя в конечном итоге речь идет об еще одном вирусе в мире кибербезопасности, это явный тревожный сигнал для всех пользователей macOS: Друзья, пришло время установить антивирус.

Защита наших компьютеров — это наша ответственность, и неуязвимых систем не существует: даже в самой странной и устаревшей операционной системе «бегает» какое-то вредоносное ПО, которое может поставить под угрозу безопасность вашего компьютера и целостность ваших данных.

Теперь вам решать, быть защищенным… или быть уязвимым. Каким пользователем вы хотите быть? Мне это ясно.