Cthulhu Stealer

網路安全研究人員發現了一種專門針對 Apple macOS 系統的新型資訊竊取惡意軟體，突顯了威脅行為者更加關注該作業系統的日益增長的趨勢。該惡意軟體名為 Cthulhu Stealer，自 2023 年底以來一直作為惡意軟體即服務 (MaaS) 軟體包的一部分提供，價格為每月 500 美元。它能夠攻擊 x86_64 和 Arm 架構。

Cthulhu Stealer 以 Apple 磁碟映像 (DMG) 分發，其中包含兩個針對不同架構定制的二進位檔案。該惡意軟體用 Golang 編寫，偽裝成合法軟體。它模仿的軟體程式包括 CleanMyMac、Grand Theft Auto IV 和 Adobe GenP，後者是用於繞過 Adobe Creative Cloud 啟動過程的開源工具。

克蘇魯竊取者收集敏感資料和憑證

選擇啟動未簽署檔案的使用者（手動繞過 Gatekeeper 保護後）會被提示輸入其係統密碼。這種基於腳本的技術也被其他惡意軟體所利用，例如Atomic Stealer、 Cuckoo 、 MacStealer和Banshee Stealer 。

隨後，系統會要求使用者輸入其 MetaMask 密碼。 Cthulhu Stealer 還可以使用名為 Chainbreaker 的開源工具收集系統資訊並提取 iCloud 鑰匙圈密碼。

收集到的資料（包括網頁瀏覽器 cookie 和 Telegram 帳戶資訊）隨後被壓縮為 ZIP 存檔並傳送到命令與控制 (C2) 伺服器進行滲透。

克蘇魯盜賊能力分析

Cthulhu Stealer 的主要功能是從各種來源（包括遊戲帳戶）取得憑證和加密貨幣錢包。它的功能與 Atomic Stealer 的功能非常相似，這表明 Cthulhu Stealer 的開發者可能修改了 Atomic Stealer 的程式碼。兩者都使用 osascript 提示使用者輸入密碼，甚至存在相同的拼字錯誤。

據報道，該惡意軟體背後的組織已不再活躍，部分原因是付款糾紛，導致附屬機構指控退出詐騙。這導致主要開發商被永久禁止進入竊取者廣告的網路犯罪市場。

克蘇魯竊取者並不是特別複雜，缺乏先進的反分析技術，無法讓它秘密行動。此外，它沒有任何獨特的功能使其與地下市場中的其他類似工具區分開來。

蘋果正在採取額外措施來防止惡意軟體

儘管與 Windows 和 Linux 相比，macOS 面臨的威脅較少，但使用者仍應保持謹慎。僅從信譽良好的來源下載軟體、避免安裝未經驗證的應用程式並使用最新的安全性修補程式更新系統至關重要。

蘋果承認 macOS 惡意軟體有所增加，並於本月稍早宣布對其即將推出的作業系統版本 Sequoia 進行更新。此更新針對開啟未正確簽署或公證的軟體引入了更嚴格的措施。

在 macOS Sequoia 中，使用者將無法再按住 Control 鍵點擊來繞過未經驗證的軟體的 Gatekeeper。相反，他們需要導航到“系統設定”>“隱私和安全”，在運行此類應用程式之前查看並批准這些應用程式的安全資訊。