Cthulhu Stealer
Cybersäkerhetsforskare har identifierat en ny skadlig programvara som stjäl information speciellt utformad för att rikta in sig på Apples macOS-system, vilket lyfter fram en växande trend där hotaktörer fokuserar mer på detta operativsystem. Skadlig programvara har fått namnet Cthulhu Stealer och har erbjudits som en del av ett Malware-as-a-Service (MaaS)-paket sedan slutet av 2023, till ett pris av 500 USD per månad. Den kan attackera både x86_64- och Arm-arkitekturer.
Cthulhu Stealer distribueras som en Apple-diskavbildning (DMG) som innehåller två binärer som är skräddarsydda för olika arkitekturer. Skadlig programvara, skriven i Golang, maskerar sig som legitim programvara. Bland de program som den imiterar är CleanMyMac, Grand Theft Auto IV och Adobe GenP, det senare är ett verktyg med öppen källkod som används för att kringgå Adobe Creative Clouds aktiveringsprocess.
Innehållsförteckning
Cthulhu Stealer samlar in känsliga data och referenser
Användare som väljer att starta den osignerade filen – efter att manuellt kringgå Gatekeeper-skydd – uppmanas att ange sitt systemlösenord. Denna teknik, baserad på ett skript, har också använts av annan skadlig kod som Atomic Stealer, Cuckoo , MacStealer och Banshee Stealer .
Efter detta uppmanas användare att ange sitt MetaMask-lösenord. Cthulhu Stealer är ytterligare utrustad för att samla in systeminformation och extrahera iCloud Keychain-lösenord med hjälp av ett öppen källkodsverktyg som heter Chainbreaker.
Den insamlade informationen, som inkluderar webbläsarcookies och Telegram-kontoinformation, komprimeras sedan till ett ZIP-arkiv och skickas till en Command-and-Control-server (C2) för exfiltrering.
En analys av Cthulhu Stealers kapacitet
Den primära funktionen för Cthulhu Stealer är att samla in autentiseringsuppgifter och kryptovaluta plånböcker från olika källor, inklusive spelkonton. Dess funktioner liknar dem i Atomic Stealer, vilket tyder på att utvecklaren av Cthulhu Stealer kan ha modifierat Atomic Stealers kod. Båda använder osascript för att fråga användarna om sina lösenord, och delar till och med samma stavfel.
Gruppen bakom denna skadliga programvara är enligt uppgift inte längre aktiv, delvis på grund av tvister om betalningar, vilket leder till anklagelser om exit-bedrägeri från affiliates. Detta resulterade i att huvudutvecklaren permanent förbjöds från cyberbrottsmarknaden där stjälaren annonserades.
Cthulhu Stealer är inte särskilt sofistikerad och saknar avancerade antianalystekniker som skulle tillåta den att fungera smygande. Dessutom har den inte några distinkta möjligheter som skiljer den från andra liknande verktyg på den underjordiska marknaden.
Apple implementerar ytterligare steg för att förhindra skadlig programvara
Även om macOS står inför färre hot jämfört med Windows och Linux, bör användare fortfarande vara försiktiga. Det är viktigt att bara ladda ner programvara från välrenommerade källor, undvika att installera overifierade applikationer och hålla systemen uppdaterade med de senaste säkerhetskorrigeringarna.
Apple har erkänt ökningen av macOS skadlig programvara och tillkännagav tidigare denna månad en uppdatering för dess kommande operativsystemversion, Sequoia. Den här uppdateringen introducerar strängare åtgärder för att öppna programvara som inte är korrekt signerad eller attesterad.
I macOS Sequoia kommer användare inte längre att kunna Ctrl-klicka för att kringgå Gatekeeper för overifierad programvara. Istället måste de navigera till Systeminställningar > Sekretess och säkerhet för att granska och godkänna säkerhetsinformation för sådana applikationer innan de körs.
