Nebezpečný virus kriticky ohrožuje macOS. Maskuje se jako známé aplikace a potichu vysává data
Lukáš Altman
Lukáše psaní naplňovalo už od dětství, že se tím bude živit si uvědomil ještě jako student v roce 2013. V tu dobu už si několika dílčími texty začal přivydělávat. Jeho profesionální kariéra začala o tři roky později, kdy se stal externím redaktorem pro portál Alza.cz. Od té doby spolupracoval s řadou firem různých rozsahů a dokonce založil několik vlastních projektů, včetně Mobify.cz, který časem přešel pod společnost abcMedia Network. Nyní se Lukáš řadí mezi nejvlivnější české redaktory v oblasti elektroniky.
Ohrožení macOS je kritické. Maskuje se jako aplikace, získává hesla, kryptoměnové peněženky i herní účty, dokonce umožňuje vzdálený přístup.
Přestože má macOS pověst bezpečného systému, objevuje se u něj stále více hrozeb. Jednou z nich je i malware nazvaný Cthulhu Stealer. Dle zjištění redakce Mobify se tváří jako běžný software, ale ve skutečnosti krade přihlašovací údaje, kryptopeněženky a data z herních účtů. Objeven byl už pár let zpět.
Malware se kryje za aplikace, a přitom krade
Malware Cthulhu Stealer je šířený jako obraz disku, tedy DMG, uvádí Wikipedia. Je napsaný v GoLangu a jeho hlavní trumf spočívá v krytí. Uživatel si myslí, že instaluje běžnou aplikaci. Po otevření souboru je aktivován osascript, který vyžádá zadání systémového hesla a hesla pro peněženku MetaMask. Všechny údaje jsou poté uloženy do textových souborů.
Následně jsou data zabalena do souboru ZIP a odeslána útočníkům. Jejich součástí jsou i informace o systému, o hardwaru a softwaru, IP adresa získaná z ipinfo.io a další citlivá data. Malware napodobuje obrazy známých aplikací, například CleanMyMac, Grand Theft Auto IV (možná VI) nebo Adobe GenP, aby působil důvěryhodně.
Jeho cílem jsou především přihlašovací údaje, kryptopeněženky a herní účty, zkrátka cokoli, odkud lze vytáhnout a získat důležitá data a informace:
- Soubory cookie prohlížečů (Chrome, Firefox)
- Peněženky Coinbase, MetaMask, Electrum, Binanace, Daedalus, Enjin, Coinomi a další
- Hesla uložená v Keychain a SafeStorage
- Údaje z Telegramu Tdata
- Herní účty a mezipaměť z Minecraftu a Battlenetu
Redakce Mobify zjistila, že Cthulhu Stealer je svým fungováním velmi podobný Atomic Stealeru, známému malwaru pro macOS, popsal NordVPN, což by mohlo naznačovat, že vývojáři možná jeho kód upravili a rozšířili.
Je prodávaný jako program za poplatek
Cthulhu Stealer funguje jako MaaS. Jak vysvětluje O2CyberNews, pronajímá se tedy lidem přes Telegram a speciální tržiště za 500 USD měsíčně (cca 12 500 Kč). Vývojář vyplácí partnerům procenta z jejich úspěchů, což podporuje rychlé šíření malwaru. Přitom byly zaznamenány stížnosti na nevyplacené částky a následné zákazy účtu na tržištích, informoval DarkTrace.
I když nezajistíte 100% ochranu, je dobré dbát aspoň na nějaké základy, které pomohou ochránit vaše zařízení co nejlépe:
- Používejte pouze ověřený software: stahujte aplikace výhradně z Apple App Store nebo oficiálních webových stránek renomovaných vývojářů.
- Využívejte Gatekeeper a další vestavěné bezpečnostní funkce: ty blokují neověřené aplikace a upozorní na potenciálně nebezpečný obsah.
- Udržujte systém a aplikace aktuální: instalujte všechny bezpečnostní záplaty ihned po jejich vydání.
- Zvažte antivirový software pro macOS: poskytuje další vrstvu ochrany, dokáže detekovat podezřelé chování aplikací a blokovat útoky.
Uživatelé často podceňují riziko instalace neověřených DMG souborů. Právě kombinace maskování a nedostatečné ostražitosti tvoří ideální podmínky pro úspěch malwaru. Aktivní monitoring, aktualizace a prevence jsou proto klíčem, jak ochránit svá data.
Zdroje
Autorský komentář Lukáše Altmana, Oficiální stránky NordVPN, Oficiální stránky DarkTrace