Phần mềm độc hại có tên Cthulhu là một mối đe dọa gần đây ảnh hưởng đến người dùng MacOS và có một điểm đặc biệt mà bạn có thể đoán được khi đọc tiêu đề của bài đăng: nó được thiết kế đặc biệt để đánh cắp tiền điện tử.
Phần mềm độc hại này nhắm mục tiêu vào các ví tiền điện tử được lưu trữ trên các hệ thống bị ảnh hưởng và có khả năng trích xuất thông tin nhạy cảm, chẳng hạn như khóa riêng và thông tin xác thực, có thể được sử dụng để làm trống ví tiền điện tử của nạn nhân.
Vì vậy, nếu bạn muốn biết thêm một chút về Cthulhu, nó làm gì, nó được xây dựng như thế nào và trên hết, làm thế nào bạn có thể chiến đấu với nó, chúng tôi khuyên bạn nên tiếp tục đọc bài đăng này, nơi chúng tôi sẽ cung cấp cho bạn tất cả thông tin chi tiết. Chúng ta đi đây!
Tính năng của phần mềm độc hại Cthulhu
Không giống như nhiều loại phần mềm độc hại khác thường nhắm mục tiêu vào hệ thống Windows hoặc Android, Cthulhu được thiết kế để tấn công đặc biệt người dùng MacOS, một nền tảng thường được coi là an toàn hơn và ít bị lây nhiễm phần mềm độc hại hơn.
Và như chúng tôi đã chỉ ra trong những dịp khác, việc macOS là một nền tảng có ít người dùng hơn không khiến nó trở nên bất khả xâm phạm và giành được thị phần cũng có những mặt tiêu cực của nó, chẳng hạn như khơi dậy sự quan tâm của những kẻ tấn công.
Mục Tiêu Cthulhu
Để đánh cắp tiền điện tử của bạn, phần mềm độc hại sẽ tìm kiếm các ví mà bạn đã lưu trữ cục bộ trên thiết bị bị nhiễm của mình.
Một khi bạn tìm thấy chúng, Cthulhu trích xuất khóa riêng và thông tin quan trọng khác cho phép kẻ tấn công chuyển tiền vào tài khoản của chính chúng và vì tiền điện tử là thứ không có sự kiểm soát và có rất ít hoặc không có khả năng truy xuất nguồn gốc... nên hành vi trộm cắp sẽ được che đậy.
Phần mềm độc hại này được phân phối như thế nào
Phương thức phân phối chính xác của Cthulhu không hoàn toàn rõ ràng, nhưng giống như nhiều loại phần mềm độc hại khác, nó có thể được phát tán qua các tệp đính kèm email độc hại, tải xuống phần mềm lậu hoặc giả mạo, các trang web bị xâm nhập hoặc bằng cách khai thác các lỗ hổng trong phần mềm hệ điều hành.
Cụ thể, có tin đồn rằng đang được phân phối dưới dạng “crack” của các trò chơi phổ biến như Diablo, World of Warcraft hay Minecraft, và cũng ẩn trong một số mod trong số này, cũng như trong Phiên bản “Jack Sparrow” của CleanMyMacX.
Nhưng phần mềm diệt virus sẽ có thể phát hiện ra Cthulhu phải không?
Thành thật mà nói, phần mềm độc hại này có thời gian phân phối dễ dàng do tỷ lệ sử dụng phần mềm bảo mật dành cho macOS tương đối thấp. Nhưng chúng tôi cho rằng bạn là độc giả thường xuyên của SoydeMac và bạn đã chú ý đến chúng tôi. lời khuyên chúng tôi cung cấp cho bạn về bảo mật, không phải?
Nhưng ngay cả đối với một phần mềm diệt virus tốt cũng khó phát hiện phần mềm độc hại, vì có vẻ như Cthulhu có khả năng trốn tránh tiên tiến nhất định để tránh bị phát hiện bởi phần mềm bảo mật và chống vi-rút trên macOS, bao gồm các kỹ thuật như mã hóa mã của bạn, sử dụng cơ chế làm xáo trộn hoặc lợi dụng các quyền hợp pháp để tránh gây nghi ngờ.
Hãy cùng tìm hiểu: Họ đã sinh ra Cthulhu như thế nào?
Thật tuyệt khi bạn đã biết phần mềm độc hại này là gì nhưng ở đây chúng tôi sẽ cung cấp cho bạn thêm một số manh mối về cách phần mềm độc hại được thiết kế để bạn biết mình đang tìm kiếm điều gì khi nhìn thấy con thú Lovecraftian này xuất hiện trên máy Mac của mình.
Ngôn ngữ lập trình Cthulhu: Chimera phần mềm
Không có mã nguồn trước mặt, chúng tôi tin rằng có khả năng Cthulhu được viết bằng Objective-C hoặc Swift, ngôn ngữ lập trình được sử dụng nhiều nhất để phát triển ứng dụng trên macOS, thứ cho phép nó tích hợp sâu với hệ điều hành và trốn tránh các kỹ thuật phát hiện phần mềm độc hại gốc.
Nhưng cũng bạn có thể sử dụng các phần trong C hoặc C++ cho các phần yêu cầu thực thi gần hệ thống hơn, chẳng hạn như quản lý bộ nhớ hoặc thao tác với các tệp hệ thống, vì chúng là ngôn ngữ mà các dịch vụ này được gắn kết.
Hiểu phần mềm độc hại: virus được tạo thành từ các mô-đun nhỏ
Phần mềm độc hại có thể được chia thành nhiều mô-đun, mỗi mô-đun thực hiện một chức năng cụ thể:
Mô-đun lây nhiễm ban đầu
Mô-đun này chịu trách nhiệm thực thi mã độc trên hệ thống của nạn nhân, có thể lợi dụng các lỗ hổng trong ứng dụng của bên thứ ba hoặc lừa người dùng chạy một tập tin có vẻ lành tính (ví dụ: PDF hoặc trình cài đặt phần mềm trò chơi lậu), để vào hệ thống.
Mô-đun kiên trì
Sau khi phần mềm độc hại được thực thi, mô-đun này đảm bảo rằng phần mềm độc hại vẫn còn trên hệ thống ngay cả sau khi khởi động lại. Để đạt được sự bền bỉ, Cthulhu có thể sửa đổi các tệp cấu hình hệ thống.
Và trong này sẽ nhập cài đặt tập lệnh khởi động trong thư mục khởi chạy macOS (/Library/LaunchDaemons hoặc /Library/LaunchAgents) hoặc dùng kỹ thuật tiêm quy trình để chạy trong các quy trình hợp pháp của hệ thống.
Mô-đun trốn tránh
Để tránh bị phát hiện, Cthulhu có thể sử dụng nhiều kỹ thuật trốn tránh khác nhau, chẳng hạn như:
- Mã hóa và làm xáo trộn: Mã hóa các phần của mã để ngăn các công cụ chống vi-rút nhận ra chúng. Ở đây, chúng tôi cũng có khả năng làm xáo trộn mã của bạn để các nhà phân tích khó đọc và hiểu.
- Vô hiệu hóa bảo mật: Cố gắng tắt các tính năng bảo mật hệ thống, chẳng hạn như Gatekeeper hoặc XProtect, là các biện pháp bảo vệ gốc của MacOS.
- Giám sát hoạt động an ninh: Phát hiện việc thực thi các công cụ bảo mật và tạm thời vô hiệu hóa hoạt động độc hại của chúng để tránh bị phát hiện.
Mô-đun thu thập thông tin: chìa khóa để đánh cắp tiền điện tử
Nhờ mô-đun này, vi-rút quét hệ thống để tìm các tệp từ ví tiền điện tử đã biết (ví dụ: các tệp cấu hình ứng dụng như Electrum, Di cư, hoặc tương tự).
Một khi bạn phát hiện ra chúng, truy cập các tệp ví và trích xuất các khóa riêng cũng như hạt khôi phục, sau đó được gửi đến máy chủ ra lệnh và kiểm soát (C2) do kẻ tấn công điều khiển.
Việc giám sát clipboard của MacOS cũng có khả năng xảy ra trong giai đoạn này, trong đó Cthulhu có thể giám sát clipboard để tìm các địa chỉ tiền điện tử được người dùng sao chép. Bằng cách phát hiện địa chỉ ví, phần mềm độc hại có thể thay thế địa chỉ đó bằng địa chỉ của kẻ tấn công, do đó chuyển hướng chuyển tiền điện tử sang tài khoản của kẻ tấn công và chúng ta sẽ có tất cả cùng nhau.
Module giao tiếp với máy chủ C2
Thông qua các giao thức bảo mật như HTTPS hoặc WebSocket, virus có thể giao tiếp với máy chủ chỉ huy và kiểm soát, gửi dữ liệu bị đánh cắp và nhận hướng dẫn mới, tất cả đều liên quan đến các kỹ thuật khiến việc theo dõi trở nên khó khăn hơn, chẳng hạn như sử dụng máy chủ proxy, mã hóa lưu lượng và thay đổi thường xuyên đối với tên miền của máy chủ C2.
Cthulhu nói rõ một điều: cần phải bảo vệ
Mặc dù cuối cùng chúng ta đang nói về một loại virus khác trong thế giới an ninh mạng, nhưng đây rõ ràng là một lời cảnh tỉnh cho tất cả người dùng macOS: Các bạn ơi, đã đến lúc cài đặt phần mềm chống vi-rút.
Bảo vệ máy tính của chúng tôi là trách nhiệm của chúng tôi và không có hệ thống nào là bất khả xâm phạm: ngay cả hệ điều hành kỳ lạ và lỗi thời nhất cũng có một số phần mềm độc hại "chạy khắp nơi" có thể xâm phạm tính bảo mật của máy tính và tính toàn vẹn của dữ liệu của bạn.
Bây giờ, việc được bảo vệ… hay dễ bị tổn thương là tùy thuộc vào bạn. Bạn muốn trở thành loại người dùng nào? Tôi hiểu rõ rồi.