Cthulhu Stealer

网络安全研究人员发现了一种专门针对 Apple macOS 系统而设计的新型信息窃取恶意软件，这突显出威胁行为者更加关注该操作系统的一种趋势。该恶意软件名为 Cthulhu Stealer，自 2023 年底以来一直作为恶意软件即服务 (MaaS) 套餐的一部分提供，价格为每月 500 美元。它能够攻击 x86_64 和 Arm 架构。

Cthulhu Stealer 以 Apple 磁盘映像 (DMG) 的形式分发，其中包含两个针对不同架构定制的二进制文件。该恶意软件以 Golang 编写，伪装成合法软件。它模仿的软件程序包括 CleanMyMac、侠盗猎车手 IV 和 Adobe GenP，后者是一种用于绕过 Adobe Creative Cloud 激活过程的开源工具。

克苏鲁窃取者收集敏感数据和凭证

选择启动未签名文件的用户（在手动绕过 Gatekeeper 保护后）会被提示输入系统密码。这种基于脚本的技术也被其他恶意软件所利用，例如Atomic Stealer、 Cuckoo 、 MacStealer和Banshee Stealer 。

随后，用户需要输入 MetaMask 密码。Cthulhu Stealer 还能够使用名为 Chainbreaker 的开源工具收集系统信息并提取 iCloud Keychain 密码。

收集的数据（包括网络浏览器 cookie 和 Telegram 帐户信息）随后被压缩为 ZIP 存档并发送到命令和控制 (C2) 服务器进行泄露。

克苏鲁窃取者能力分析

Cthulhu Stealer 的主要功能是从各种来源（包括游戏账户）窃取凭证和加密货币钱包。其功能与 Atomic Stealer 非常相似，这表明 Cthulhu Stealer 的开发人员可能修改了 Atomic Stealer 的代码。两者都使用 osascript 提示用户输入密码，甚至有相同的拼写错误。

据报道，该恶意软件背后的团队已不再活跃，部分原因是付款纠纷，导致其关联方指控其存在退出骗局。这导致主要开发者被永久禁止进入宣传该窃取程序的网络犯罪市场。

Cthulhu Stealer 并不复杂，缺乏先进的反分析技术，无法秘密运行。此外，它没有任何独特的功能，无法与地下市场中的其他类似工具区分开来。

苹果正在采取额外措施预防恶意软件

尽管与 Windows 和 Linux 相比，macOS 面临的威胁较少，但用户仍应保持谨慎。务必仅从信誉良好的来源下载软件，避免安装未经验证的应用程序，并让系统保持最新的安全补丁。

苹果已承认 macOS 恶意软件数量有所增加，并于本月初宣布将对即将推出的操作系统版本 Sequoia 进行更新。此更新引入了更严格的措施，以防止打开未经正确签名或公证的软件。

在 macOS Sequoia 中，用户将无法再通过按住 Control 键单击来绕过未经验证的软件的 Gatekeeper。相反，他们需要在运行此类应用程序之前，前往“系统设置”>“隐私和安全”来查看和批准这些应用程序的安全信息。