Cthulhu Stealer
Els investigadors de ciberseguretat han identificat un nou programari maliciós per robar informació dissenyat específicament per dirigir-se als sistemes macOS d'Apple, destacant una tendència creixent on els actors de les amenaces se centren més en aquest sistema operatiu. Anomenat Cthulhu Stealer, el programari maliciós s'ha ofert com a part d'un paquet de programari maliciós com a servei (MaaS) des de finals de 2023, amb un preu de 500 dòlars al mes. És capaç d'atacar tant arquitectures x86_64 com Arm.
El Cthulhu Stealer es distribueix com una imatge de disc d'Apple (DMG) que conté dos binaris adaptats a diferents arquitectures. Escrit a Golang, el programari maliciós es fa passar per programari legítim. Entre els programes de programari que imita es troben CleanMyMac, Grand Theft Auto IV i Adobe GenP, aquest últim és una eina de codi obert que s'utilitza per evitar el procés d'activació d'Adobe Creative Cloud.
Taula de continguts
The Cthulhu Stealer recopila dades i credencials sensibles
Els usuaris que decideixen llançar el fitxer sense signar, després d'ometre manualment les proteccions de Gatekeeper, se'ls demana que introdueixin la seva contrasenya del sistema. Aquesta tècnica, basada en un script, també ha estat utilitzada per altres programes maliciosos com Atomic Stealer, Cuckoo , MacStealer i Banshee Stealer .
Després d'això, se'ls demana als usuaris que introdueixin la seva contrasenya de MetaMask. El Cthulhu Stealer està més equipat per recopilar informació del sistema i extreure contrasenyes de clauer d'iCloud mitjançant una eina de codi obert anomenada Chainbreaker.
Les dades recopilades, que inclouen galetes del navegador web i informació del compte de Telegram, es comprimeixen en un arxiu ZIP i s'envien a un servidor de comandament i control (C2) per a l'exfiltració.
Una anàlisi de les capacitats del robador de Cthulhu
La funció principal del Cthulhu Stealer és recollir credencials i carteres de criptomoneda de diverses fonts, inclosos els comptes de jocs. Les seves característiques s'assemblen molt a les de l'Atomic Stealer, cosa que suggereix que el desenvolupador del Cthulhu Stealer podria haver modificat el codi d'Atomic Stealer. Tots dos utilitzen osascript per demanar als usuaris les seves contrasenyes, fins i tot compartint els mateixos errors ortogràfics.
S'ha informat que el grup que hi ha darrere d'aquest programari maliciós ja no està actiu, en part a causa de disputes sobre pagaments, que han provocat acusacions d'una estafa de sortida per part dels afiliats. Això va provocar que el desenvolupador principal fos permanentment prohibit del mercat de ciberdelinqüència on es va anunciar el lladre.
El Cthulhu Stealer no és especialment sofisticat, mancat de tècniques avançades d'antianàlisi que li permetin operar de manera sigilosa. A més, no té cap capacitat distintiva que el distingeixi d'altres eines similars al mercat subterrani.
Apple està implementant passos addicionals per prevenir el programari maliciós
Tot i que macOS s'enfronta a menys amenaces en comparació amb Windows i Linux, els usuaris haurien de ser prudents. És fonamental descarregar programari només de fonts de confiança, evitar instal·lar aplicacions no verificades i mantenir els sistemes actualitzats amb els darrers pedaços de seguretat.
Apple ha reconegut l'augment del programari maliciós macOS i, a principis d'aquest mes, va anunciar una actualització per a la seva propera versió del sistema operatiu, Sequoia. Aquesta actualització introdueix mesures més estrictes per obrir programari que no està signat ni autoritzat correctament.
A macOS Sequoia, els usuaris ja no podran fer clic amb Control per evitar Gatekeeper per al programari no verificat. En lloc d'això, hauran d'anar a Configuració del sistema > Privadesa i seguretat per revisar i aprovar la informació de seguretat d'aquestes aplicacions abans d'executar-les.
