Cthulhu Stealer
I ricercatori di sicurezza informatica hanno identificato un nuovo malware che ruba informazioni, specificamente progettato per colpire i sistemi Apple macOS, evidenziando una tendenza crescente in cui gli autori delle minacce si concentrano maggiormente su questo sistema operativo. Chiamato Cthulhu Stealer, il malware è stato offerto come parte di un pacchetto Malware-as-a-Service (MaaS) dalla fine del 2023, al prezzo di $ 500 al mese. È in grado di attaccare sia le architetture x86_64 che Arm.
Il Cthulhu Stealer è distribuito come un'immagine disco Apple (DMG) contenente due binari su misura per architetture diverse. Scritto in Golang, il malware si maschera da software legittimo. Tra i programmi software che imita ci sono CleanMyMac, Grand Theft Auto IV e Adobe GenP, quest'ultimo uno strumento open source utilizzato per bypassare il processo di attivazione di Adobe Creative Cloud.
Sommario
Il ladro di Cthulhu raccoglie dati e credenziali sensibili
Gli utenti che scelgono di avviare il file non firmato, dopo aver bypassato manualmente le protezioni Gatekeeper, vengono invitati a immettere la password di sistema. Questa tecnica, basata su uno script, è stata utilizzata anche da altri malware come Atomic Stealer, Cuckoo , MacStealer e Banshee Stealer .
In seguito, agli utenti viene chiesto di immettere la password MetaMask. Il Cthulhu Stealer è ulteriormente equipaggiato per raccogliere informazioni di sistema ed estrarre le password di iCloud Keychain utilizzando uno strumento open source chiamato Chainbreaker.
I dati raccolti, che includono i cookie del browser web e le informazioni dell'account Telegram, vengono quindi compressi in un archivio ZIP e inviati a un server di comando e controllo (C2) per l'esfiltrazione.
Un’analisi delle capacità del ladro di Cthulhu
La funzione principale di Cthulhu Stealer è quella di raccogliere credenziali e portafogli di criptovaluta da varie fonti, inclusi gli account di gioco. Le sue caratteristiche assomigliano molto a quelle di Atomic Stealer, il che suggerisce che lo sviluppatore di Cthulhu Stealer potrebbe aver modificato il codice di Atomic Stealer. Entrambi utilizzano osascript per chiedere agli utenti le loro password, condividendo persino gli stessi errori di ortografia.
Il gruppo dietro questo malware non sarebbe più attivo, in parte a causa di controversie sui pagamenti, che hanno portato ad accuse di exit scam da parte degli affiliati. Ciò ha portato al ban permanente dello sviluppatore principale dal mercato del cybercrime in cui era pubblicizzato lo stealer.
Il Cthulhu Stealer non è particolarmente sofisticato, privo di tecniche anti-analisi avanzate che gli consentirebbero di operare furtivamente. Inoltre, non ha capacità distintive che lo distinguano da altri strumenti simili nel mercato underground.
Apple sta implementando misure aggiuntive per prevenire il malware
Sebbene macOS affronti meno minacce rispetto a Windows e Linux, gli utenti dovrebbero comunque essere cauti. È fondamentale scaricare software solo da fonti affidabili, evitare di installare applicazioni non verificate e mantenere i sistemi aggiornati con le ultime patch di sicurezza.
Apple ha riconosciuto l'aumento del malware macOS e, all'inizio di questo mese, ha annunciato un aggiornamento per la sua prossima versione del sistema operativo, Sequoia. Questo aggiornamento introduce misure più severe per l'apertura di software non correttamente firmato o autenticato.
In macOS Sequoia, gli utenti non potranno più fare Ctrl-clic per bypassare Gatekeeper per software non verificato. Dovranno invece andare su Impostazioni di sistema > Privacy e sicurezza per rivedere e approvare le informazioni di sicurezza per tali applicazioni prima di eseguirle.
