26/08/24
Исследователи из компании Cado Security обнаружили новое вредоносное ПО, ориентированное на пользователей операционной системы macOS. Этот вредонос, получивший название «Cthulhu Stealer», разработан для сбора широкого спектра данных с устройств Apple, что подчёркивает растущую активность киберпреступников, нацеленную на эту платформу, пишет Securitylab.
Cthulhu Stealer распространяется с конца 2023 года по модели «вредоносное ПО как услуга» (MaaS) с ценой $500 в месяц. Он способен работать как на архитектуре x86_64, так и на Arm. Вредоносное ПО маскируется под легитимное программное обеспечение, включая популярные приложения, такие как CleanMyMac и даже видеоигра Grand Theft Auto IV. В ходе атаки используется образ диска Apple (DMG), содержащий два бинарных файла, адаптированных под разные архитектуры.
Основная опасность заключается в том, что пользователи, решившие запустить неподписанный файл, вынуждены обходить защиту Gatekeeper и вводить системный пароль.
Вредоносное ПО также может запрашивать пароль от MetaMask, что делает его особо опасным для владельцев криптовалютных кошельков. Cthulhu Stealer собирает информацию о системе и извлекает пароли из iCloud Keychain, используя открытый инструмент Chainbreaker.
Собранные данные, включая куки веб-браузеров и информацию аккаунтов Telegram, сжимаются в архив и отправляются на сервер злоумышленников. Основная цель этого вредоноса — похищение учётных данных и криптовалютных кошельков, а также учётных записей в играх.
По данным Cado Security, функции Cthulhu Stealer во многом схожи с другим известным вредоносом — Atomic Stealer. Вероятно, разработчик Cthulhu Stealer взял за основу код Atomic Stealer и внёс в него изменения.
На данный момент, злоумышленники, стоящие за разработкой Cthulhu Stealer, прекратили свою деятельность. Внутренние конфликты и споры о выплатах привели к обвинениям в мошенничестве и к тому, что главный разработчик был навсегда заблокирован на киберпреступном рынке, где и продвигалось это ПО.
Хотя Cthulhu Stealer и не отличается высокой сложностью или уникальными функциями, его существование подчёркивает возросший интерес к платформе macOS среди киберпреступников.
