คธูลู: มัลแวร์ที่ขโมยสกุลเงินดิจิทัลของคุณบน Mac

ธู

มัลแวร์ที่เรียกว่าคธูลูเป็นภัยคุกคามล่าสุดที่ส่งผลกระทบต่อผู้ใช้ MacOS และมีลักษณะเฉพาะซึ่งคุณอาจเดาได้จากการอ่านชื่อโพสต์: มันถูกออกแบบมาโดยเฉพาะเพื่อขโมยสกุลเงินดิจิทัล

มัลแวร์นี้กำหนดเป้าหมายไปที่กระเป๋าเงินดิจิทัลที่จัดเก็บไว้ในระบบที่ได้รับผลกระทบ และมีความสามารถในการดึงข้อมูลที่ละเอียดอ่อน เช่น คีย์ส่วนตัวและข้อมูลประจำตัว ซึ่งสามารถใช้เพื่อล้างกระเป๋าเงินดิจิทัลของเหยื่อได้

ดังนั้นหากคุณต้องการทราบข้อมูลเพิ่มเติมเล็กน้อยเกี่ยวกับคธูลู มันทำอะไร สร้างอย่างไร และเหนือสิ่งอื่นใด คุณจะต่อสู้กับมันได้อย่างไร เราขอแนะนำให้คุณอ่านโพสต์นี้ต่อ ซึ่งเราจะให้รายละเอียดทั้งหมดแก่คุณ ไปเลย!

คุณสมบัติของมัลแวร์คธูลู

โปรแกรมป้องกันไวรัสสำหรับ mac เป็นสิ่งที่จำเป็น

แตกต่างจากมัลแวร์ประเภทอื่นๆ มากมายที่โดยทั่วไปกำหนดเป้าหมายระบบ Windows หรือ Android คธูลูได้รับการออกแบบมาเพื่อโจมตีผู้ใช้ MacOS โดยเฉพาะ ซึ่งเป็นแพลตฟอร์มที่แต่ก่อนถือว่าปลอดภัยกว่าและเสี่ยงต่อการติดมัลแวร์น้อยกว่า

และดังที่เราได้ระบุไว้ในโอกาสอื่นๆ การที่ macOS เป็นแพลตฟอร์มที่มีผู้ใช้น้อยกว่าไม่ได้ทำให้ macOS นั้นคงกระพันและ การได้รับส่วนแบ่งการตลาดก็มีส่วนลบเช่นกันเช่นการปลุกเร้าความสนใจของผู้โจมตี

เป้าหมายคธูลู

เพื่อขโมย cryptocurrencies ของคุณ มัลแวร์จะค้นหากระเป๋าเงินที่คุณจัดเก็บไว้ในอุปกรณ์ที่ติดไวรัสของคุณ

เมื่อคุณพบพวกเขาแล้ว คธูลูแยกคีย์ส่วนตัวและข้อมูลสำคัญอื่น ๆ ที่ทำให้ผู้โจมตีสามารถโอนเงินไปยังบัญชีของตนเองได้ และเนื่องจากสกุลเงินดิจิทัลเป็นสิ่งที่ไม่มีการควบคุมและสามารถตรวจสอบย้อนกลับได้เพียงเล็กน้อยหรือไม่มีเลย... การโจรกรรมก็จะได้รับการคุ้มครอง

มัลแวร์นี้แพร่กระจายอย่างไร

วิธีการเผยแพร่คธูลูยังไม่ชัดเจนนัก แต่เช่นเดียวกับมัลแวร์ประเภทอื่นๆ มัลแวร์อาจถูกเผยแพร่ผ่านไฟล์แนบอีเมลที่เป็นอันตราย การดาวน์โหลดซอฟต์แวร์ละเมิดลิขสิทธิ์หรือปลอม เว็บไซต์ที่ถูกบุกรุก หรือโดยการหาประโยชน์จากช่องโหว่ในซอฟต์แวร์ระบบปฏิบัติการ

โดยเฉพาะก็มีข่าวลือว่า ถูกเผยแพร่เป็น “แคร็ก” ของเกมยอดนิยม เช่น Diablo, World of Warcraft หรือ Minecraft และยังซ่อนอยู่ใน mods เหล่านี้เช่นกัน เวอร์ชัน “Jack Sparrow” โดย CleanMyMacX.

แต่แอนตี้ไวรัสจะสามารถตรวจจับคธูลูได้ใช่ไหม?

บอกตามตรงว่ามัลแวร์ตัวนี้แพร่กระจายได้ง่ายเนื่องจากมีอัตราการใช้ซอฟต์แวร์รักษาความปลอดภัยสำหรับ macOS ค่อนข้างต่ำ แต่เราถือว่าคุณเป็นผู้อ่าน SoydeMac เป็นประจำและคุณให้ความสนใจกับเรา เคล็ดลับที่เราให้คุณเกี่ยวกับความปลอดภัย, ใช่มั้ย?

แต่แม้แต่แอนตี้ไวรัสที่ดีก็ยังตรวจจับมัลแวร์ได้ยากเนื่องจากดูเหมือนว่าจะเป็นเช่นนั้น คธูลูมีความสามารถในการหลบหลีกขั้นสูงเพื่อหลีกเลี่ยงการตรวจจับ โดยซอฟต์แวร์ป้องกันไวรัสและความปลอดภัยบน macOS รวมถึงเทคนิคต่างๆ เช่น การเข้ารหัสโค้ดของคุณ การใช้กลไกที่ทำให้สับสน หรือการใช้ประโยชน์จากสิทธิ์ที่ถูกต้องเพื่อหลีกเลี่ยงการก่อให้เกิดความสงสัย

มาดูกันดีกว่า: พวกเขาให้กำเนิดคธูลูได้อย่างไร?

การตรวจจับไวรัสบน mac เป็นสิ่งสำคัญ

เป็นเรื่องดีที่คุณรู้อยู่แล้วว่ามัลแวร์นี้เกี่ยวกับอะไร แต่เราจะให้เบาะแสเพิ่มเติมเกี่ยวกับวิธีการออกแบบมัลแวร์เพื่อให้คุณรู้ว่าสิ่งที่คุณกำลังมองหาเมื่อคุณเห็นสัตว์ร้าย Lovecraftian ปรากฏบน Mac ของคุณ

ภาษาการเขียนโปรแกรมคธูลู: ความฝันของซอฟต์แวร์

หากไม่มีซอร์สโค้ดอยู่ตรงหน้าเรา เราเชื่อว่าน่าจะเป็นเช่นนั้น คธูลูเขียนด้วย Objective-C หรือ Swiftซึ่งเป็นภาษาโปรแกรมที่ใช้มากที่สุดในการพัฒนาแอพพลิเคชั่นบน macOS ซึ่งเป็นสิ่งที่จะช่วยให้สามารถบูรณาการเข้ากับระบบปฏิบัติการได้อย่างลึกซึ้งและหลบเลี่ยงเทคนิคการตรวจจับมัลแวร์ดั้งเดิม

แต่ยัง คุณสามารถใช้ส่วนต่างๆ ในภาษา C หรือ C++ สำหรับส่วนที่ต้องมีการดำเนินการใกล้กับระบบมากขึ้นเช่นการจัดการหน่วยความจำหรือการจัดการไฟล์ระบบเนื่องจากเป็นภาษาที่ใช้ติดตั้งบริการเหล่านี้

ทำความเข้าใจเกี่ยวกับมัลแวร์: ไวรัสประกอบด้วยโมดูลขนาดเล็ก

มัลแวร์สามารถแบ่งออกเป็นหลายโมดูล ซึ่งแต่ละโมดูลทำหน้าที่เฉพาะ:

โมดูลการติดเชื้อเริ่มต้น

โมดูลนี้มีหน้าที่รับผิดชอบในการรันโค้ดที่เป็นอันตรายบนระบบของเหยื่อซึ่ง สามารถใช้ประโยชน์จากช่องโหว่ในแอปพลิเคชันบุคคลที่สาม หรือหลอกให้ผู้ใช้เข้าไป เรียกใช้ไฟล์ที่ดูเหมือนไม่เป็นพิษเป็นภัย (เช่น ไฟล์ PDF หรือโปรแกรมติดตั้งซอฟต์แวร์เกมละเมิดลิขสิทธิ์) เพื่อเข้าสู่ระบบ

โมดูลการคงอยู่

เมื่อมัลแวร์ถูกดำเนินการ โมดูลนี้จะช่วยให้แน่ใจว่ามัลแวร์จะยังคงอยู่ในระบบแม้ว่าจะรีบูตแล้วก็ตาม เพื่อให้เกิดความคงอยู่ คธูลูสามารถแก้ไขไฟล์การกำหนดค่าระบบได้

และภายในนี้ก็จะเข้าสู่ ติดตั้งสคริปต์เริ่มต้นในไดเร็กทอรีเรียกใช้ macOS (/Library/LaunchDaemons หรือ /Library/LaunchAgents) หรือใช้ เทคนิคการฉีดกระบวนการเพื่อให้ทำงานภายในกระบวนการ ถูกต้องตามกฎหมายของระบบ

โมดูลการหลบหลีก

เพื่อหลีกเลี่ยงการตรวจจับ คธูลูสามารถใช้เทคนิคการหลบเลี่ยงต่างๆ เช่น:

  • การเข้ารหัสและการทำให้สับสน: เข้ารหัสบางส่วนของโค้ดเพื่อป้องกันไม่ให้กลไกป้องกันไวรัสรับรู้ ที่นี่เรามีความเป็นไปได้ที่จะทำให้โค้ดของคุณสับสน ซึ่งทำให้นักวิเคราะห์อ่านและทำความเข้าใจได้ยาก
  • การปิดระบบความปลอดภัย: ลองปิดการใช้งานคุณสมบัติความปลอดภัยของระบบ เช่น Gatekeeper หรือ XProtect ซึ่งเป็นการป้องกัน MacOS ดั้งเดิม
  • การตรวจสอบกิจกรรมความปลอดภัย: ตรวจจับการทำงานของเครื่องมือรักษาความปลอดภัยและปิดการใช้งานกิจกรรมที่เป็นอันตรายชั่วคราวเพื่อหลีกเลี่ยงการตรวจจับ

โมดูลการรวบรวมข้อมูล: กุญแจสำคัญในการขโมย cryptocurrencies

ขอบคุณโมดูลนี้ ไวรัสจะสแกนระบบเพื่อหาไฟล์จากกระเป๋าเงินดิจิตอลที่รู้จัก (เช่น ไฟล์การกำหนดค่าแอปพลิเคชัน เช่น Electrum, พระธรรมหรือคล้ายกัน)

เมื่อคุณตรวจพบพวกมันแล้ว เข้าถึงไฟล์กระเป๋าสตางค์และแยกคีย์ส่วนตัวและเมล็ดการกู้คืน ซึ่งจะถูกส่งไปยังเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) ควบคุมโดยผู้โจมตี

ขั้นตอนนี้มีแนวโน้มที่จะเห็นการเฝ้าระวังคลิปบอร์ดของ macOS โดยที่คธูลูสามารถตรวจสอบคลิปบอร์ดเพื่อหาที่อยู่สกุลเงินดิจิทัลที่ผู้ใช้คัดลอกมา การตรวจจับที่อยู่กระเป๋าเงิน มัลแวร์สามารถแทนที่ด้วยที่อยู่ของผู้โจมตีได้ ดังนั้นการโอนสกุลเงินดิจิทัลไปยังบัญชีของผู้โจมตี และเราจะรวมมันไว้ด้วยกัน

โมดูลการสื่อสารกับเซิร์ฟเวอร์ C2

ผ่านโปรโตคอลที่ปลอดภัย เช่น HTTPS หรือ WebSocket ไวรัสสามารถสื่อสารกับเซิร์ฟเวอร์คำสั่งและควบคุม การส่งข้อมูลที่ถูกขโมยและรับคำสั่งใหม่ ทั้งหมดนี้เชื่อมโยงกับเทคนิคที่ทำให้ยากต่อการติดตาม เช่น การใช้พร็อกซีเซิร์ฟเวอร์ การเข้ารหัสการรับส่งข้อมูล และการเปลี่ยนแปลงโดเมนของเซิร์ฟเวอร์ C2 บ่อยครั้ง

คธูลูแสดงสิ่งหนึ่งที่ชัดเจน: จำเป็นต้องปกป้อง

คธูลูเป็นไวรัสสำหรับ Mac

แม้ว่าท้ายที่สุดแล้วเรากำลังพูดถึงไวรัสอีกตัวหนึ่งในโลกแห่งความปลอดภัยทางไซเบอร์ แต่ก็เป็นสัญญาณเตือนภัยที่ชัดเจนสำหรับผู้ใช้ macOS ทุกคน: เพื่อนๆ ถึงเวลาติดตั้งโปรแกรมป้องกันไวรัสแล้ว

การปกป้องคอมพิวเตอร์ของเราเป็นความรับผิดชอบของเรา และไม่มีระบบที่คงกระพัน แม้แต่ระบบปฏิบัติการที่แปลกที่สุดและล้าสมัยที่สุดก็ยังมีมัลแวร์บางตัว "กำลังทำงานอยู่" ซึ่งอาจส่งผลต่อความปลอดภัยของคอมพิวเตอร์และความสมบูรณ์ของข้อมูลของคุณ

ตอนนี้มันขึ้นอยู่กับคุณแล้วที่จะต้องปกป้อง…หรืออ่อนแอ คุณอยากเป็นผู้ใช้ประเภทใด? ฉันมีมันชัดเจน


แสดงความคิดเห็นของคุณ

อีเมล์ของคุณจะไม่ถูกเผยแพร่ ช่องที่ต้องการถูกทำเครื่องหมายด้วย *

*

*

  1. ผู้รับผิดชอบข้อมูล: Miguel ÁngelGatón
  2. วัตถุประสงค์ของข้อมูล: ควบคุมสแปมการจัดการความคิดเห็น
  3. ถูกต้องตามกฎหมาย: ความยินยอมของคุณ
  4. การสื่อสารข้อมูล: ข้อมูลจะไม่ถูกสื่อสารไปยังบุคคลที่สามยกเว้นตามข้อผูกพันทางกฎหมาย
  5. การจัดเก็บข้อมูล: ฐานข้อมูลที่โฮสต์โดย Occentus Networks (EU)
  6. สิทธิ์: คุณสามารถ จำกัด กู้คืนและลบข้อมูลของคุณได้ตลอดเวลา