Древнее зло пробудилось: Cthulhu Stealer похищает криптоактивы на MacOS

Исследователи из компании Cado Security обнаружилиновое вредоносное ПО, ориентированное на пользователей операционной системы macOS. Этот вредонос, получивший название “Cthulhu Stealer”, разработан для сбора широкого спектра данных с устройств Apple, что подчёркивает растущую активность киберпреступников, нацеленную на эту платформу.

Cthulhu Stealer распространяется с конца 2023 года по модели “вредоносное ПО как услуга” (MaaS) с ценой $500 в месяц. Он способен работать как на архитектуре x86_64, так и на Arm. Вредоносное ПО маскируется под легитимное программное обеспечение, включая популярные приложения, такие как CleanMyMac и даже видеоигра Grand Theft Auto IV. В ходе атаки используется образ диска Apple (DMG), содержащий два бинарных файла, адаптированных под разные архитектуры.

Основная опасность заключается в том, что пользователи, решившие запустить неподписанный файл, вынуждены обходить защиту Gatekeeper и вводить системный пароль.

Вредоносное ПО также может запрашивать пароль от MetaMask, что делает его особо опасным для владельцев криптовалютных кошельков. Cthulhu Stealer собирает информацию о системе и извлекает пароли из iCloud Keychain, используя открытый инструмент Chainbreaker.

Собранные данные, включая куки веб-браузеров и информацию аккаунтов Telegram, сжимаются в архив и отправляются на сервер злоумышленников. Основная цель этого вредоноса – похищение учётных данных и криптовалютных кошельков, а также учётных записей в играх.

По данным Cado Security, функции Cthulhu Stealer во многом схожи с другим известным вредоносом – Atomic Stealer. Вероятно, разработчик Cthulhu Stealer взял за основу код Atomic Stealer и внёс в него изменения.

На данный момент, злоумышленники, стоящие за разработкой Cthulhu Stealer, прекратили свою деятельность. Внутренние конфликты и споры о выплатах привели к обвинениям в мошенничестве и к тому, что главный разработчик был навсегда заблокирован на киберпреступном рынке, где и продвигалось это ПО.

Хотя Cthulhu Stealer и не отличается высокой сложностью или уникальными функциями, его существование подчёркивает возросший интерес к платформе macOS среди киберпреступников. Пользователям рекомендуется загружать программы только из проверенных источников, избегать установки неподтверждённых приложений и регулярно обновлять системы.

Компания Apple также обратила внимание на рост угроз для macOS и недавно анонсировала улучшения безопасности в следующей версии операционной системы. Так, в macOS Sequoia пользователи больше не смогут обойти защиту Gatekeeper через Control-click для запуска неподписанного ПО.

Вместо этого необходимо будет переходить в “Настройки системы” и вручную разрешать запуск подозрительных программ, что может оградить малоопытных пользователей от случайного заражения своего устройства на базе macOS.

Public Release.