Cthulhu Stealer
Os pesquisadores de segurança cibernética identificaram um novo malware de roubo de informações projetado especificamente para atingir sistemas Apple macOS, destacando uma tendência crescente em que os agentes de ameaças se concentram mais neste sistema operacional. Chamado de Cthulhu Stealer, o malware é oferecido como parte de um pacote Malware-as-a-Service (MaaS) desde o final de 2023, com preço de US$ 500 por mês. Ele é capaz de atacar arquiteturas x86_64 e Arm.
O Cthulhu Stealer é distribuído como uma imagem de disco da Apple (DMG) contendo dois binários adaptados para diferentes arquiteturas. Escrito em Golang, o malware se disfarça como software legítimo. Entre os programas de software que ele imita estão CleanMyMac, Grand Theft Auto IV e Adobe GenP, sendo este último uma ferramenta de código aberto usada para ignorar o processo de ativação do Adobe Creative Cloud.
Índice
O Cthulhu Stealer Coleta Dados Sensíveis e Credenciais
Usuários que escolherem iniciar o arquivo não assinado — após contornar manualmente as proteções do Gatekeeper — são solicitados a digitar sua senha do sistema. Essa técnica, baseada em osascript, também foi utilizada por outros malwares como o Atomic Stealer, Cuckoo , MacStealer e o Banshee Stealer.
Depois disso, os usuários são solicitados a digitar sua senha MetaMask. O Cthulhu Stealer é ainda mais equipado para coletar informações do sistema e extrair senhas do iCloud Keychain usando uma ferramenta de código aberto chamada Chainbreaker.
Os dados coletados, que incluem cookies do navegador da web e informações da conta do Telegram, são então compactados em um arquivo ZIP e enviados para um servidor de Comando e Controle (C2) para exfiltração.
Uma Análise das Capacidades do Cthulhu Stealer
A função primária do Cthulhu Stealer é coletar credenciais e carteiras de criptomoedas de várias fontes, incluindo contas de jogos. Seus recursos lembram muito os do Atomic Stealer, sugerindo que o desenvolvedor do Cthulhu Stealer pode ter modificado o código do Atomic Stealer. Ambos usam osascript para solicitar senhas aos usuários, mesmo compartilhando os mesmos erros de ortografia.
O grupo por trás desse malware supostamente não está mais ativo, em parte devido a disputas sobre pagamentos, levando a acusações de um golpe de saída por afiliados. Isso resultou no banimento permanente do desenvolvedor principal do mercado de crimes cibernéticos onde o ladrão foi anunciado.
O Cthulhu Stealer não é particularmente sofisticado, faltando técnicas avançadas de antianálise que permitiriam que ele operasse furtivamente. Além disso, ele não tem nenhuma capacidade distintiva que o diferencie de outras ferramentas semelhantes no mercado underground.
A Apple está Implementando Etapas Adicionais para Evitar Malware
Embora o macOS enfrente menos ameaças em comparação ao Windows e ao Linux, os usuários ainda devem ser cautelosos. É crucial baixar software apenas de fontes confiáveis, evitar instalar aplicativos não verificados e manter os sistemas atualizados com os patches de segurança mais recentes.
A Apple reconheceu o aumento de malware no macOS e, no início deste mês, anunciou uma atualização para sua próxima versão do sistema operacional, Sequoia. Esta atualização introduz medidas mais rigorosas para abrir software que não esteja devidamente assinado ou autenticado.
No macOS Sequoia, os usuários não poderão mais pressionar Control e clicar para ignorar o Gatekeeper para software não verificado. Em vez disso, eles precisarão navegar para Configurações do Sistema > Privacidade e Segurança para revisar e aprovar informações de segurança para tais aplicativos antes de executá-los.
