Nabijali się z posiadaczy Windowsa, teraz sami mają problem
Faktem jest, że komputery Mac firmy Apple są mniej narażone na złośliwe oprogramowanie niż komputery z Windowsem. To nie jest jednak tak, że zagrożeń nie ma, a Cthulhu Stealer mrozi krew w żyłach swoimi umiejętnościami.
Firma Cado Security zidentyfikowała właśnie złośliwe oprogramowanie malware-as-a-service (MaaS) atakujące użytkowników komputerów Mac. Potrafi ono wykradać praktycznie wszystko, od haseł zapisanych w iCloud, przed dane z przeglądarek internetowych po nawet treści z Telegrama. Cthulhu Stealer, bo to o nim mowa, jest przy tym oferowany w dark webie jako usługa w cenie 500 dolarów miesięcznie.
Cthulhu Stealer podszywa się pod pożądane aplikacje, może być Grand Theft Auto IV, może udawać CleanMyMac, może też nawet być zaszyty w Adobe GenP, czyli pirackim narzędziu używanym przez niektórych do obejścia subskrypcji na aplikacje Adobe. Instalacja MaaS odbywa się jak każde inne pobranie aplikacji ze strony producenta, z pominięciem sklepu Apple. Pobieramy obraz dysku (DMG) i instalujemy aplikację.
Co prawda wbudowana funkcja zabezpieczeń macOS, czyli Gatekeeper poinformuje użytkownika, że oprogramowanie nie jest podpisane, ale jeśli ofiara zdecyduje się pominąć ostrzeżenie, zaczyna się koszmar. Natychmiast pojawia się prośba o podanie hasła systemowego, podobna do tych w przypadku niezarażonych aplikacji i w tym momencie mamy kłopoty.
Gdy tylko Cthtulhi zdobędzie niezbędne uprawnienia, ma właściwie nieograniczony dostęp do poufnych danych. Jak podają badacze, na widelcu są tutaj szczególnie posiadacze portfeli kryptowalutowych, bo oprogramowanie dobiera się do informacji z portfela MetaMask. Skradzione informacje natychmiast wędrują na serwery atakujących.
Nie jest to nowa metoda
Atomic Stealer czy MacStealer korzystają z podobnych sztuczek i do niedawna Apple niewiele z tym robił. Wraz z macOS Sequoia pomijanie ostrzeżeń nie będzie już jednak takie proste i nie wystarczy wciśnięty przycisk Control. System przeciągnie nas przez ustawienia i dopiero tam będziemy mogli zezwolić na instalację niepodpisanych programów. Dla niektórych może być to szansa do namyślenia się, czy program jest, aby na pewno bezpieczny, ale pewnie nadal nie zabraknie kombinatorów. W końcu, po co płacić, skoro można spiracić?
Sposób obrony jest prosty — pobieramy jedynie aplikacje prosto ze sklepu Apple'a lub bezpośrednio ze stron zaufanych producentów oprogramowania. Warto też zachować szczególną ostrożność w stosunku do aplikacji proszących użytkownika o podanie hasła systemowego.
