Исследователи из компании Cado Security обнаружилиновое вредоносное ПО, ориентированное на пользователей операционной системы macOS. Этот вредонос, получивший название “Cthulhu Stealer”, разработан для сбора широкого спектра данных с устройств Apple, что подчёркивает растущую активность киберпреступников, нацеленную на эту платформу.
Cthulhu Stealer распространяется с конца 2023 года по модели “вредоносное ПО как услуга” (MaaS) с ценой $500 в месяц. Он способен работать как на архитектуре x86_64, так и на Arm. Вредоносное ПО маскируется под легитимное программное обеспечение, включая популярные приложения, такие как CleanMyMac и даже видеоигра Grand Theft Auto IV. В ходе атаки используется образ диска Apple (DMG), содержащий два бинарных файла, адаптированных под разные архитектуры.
Основная опасность заключается в том, что пользователи, решившие запустить неподписанный файл, вынуждены обходить защиту Gatekeeper и вводить системный пароль.
Вредоносное ПО также может запрашивать пароль от MetaMask, что делает его особо опасным для владельцев криптовалютных кошельков. Cthulhu Stealer собирает информацию о системе и извлекает пароли из iCloud Keychain, используя открытый инструмент Chainbreaker.
Собранные данные, включая куки веб-браузеров и информацию аккаунтов Telegram, сжимаются в архив и отправляются на сервер злоумышленников. Основная цель этого вредоноса – похищение учётных данных и криптовалютных кошельков, а также учётных записей в играх.
По данным Cado Security, функции Cthulhu Stealer во многом схожи с другим известным вредоносом – Atomic Stealer. Вероятно, разработчик Cthulhu Stealer взял за основу код Atomic Stealer и внёс в него изменения.
На данный момент, злоумышленники, стоящие за разработкой Cthulhu Stealer, прекратили свою деятельность. Внутренние конфликты и споры о выплатах привели к обвинениям в мошенничестве и к тому, что главный разработчик был навсегда заблокирован на киберпреступном рынке, где и продвигалось это ПО.
Хотя Cthulhu Stealer и не отличается высокой сложностью или уникальными функциями, его существование подчёркивает возросший интерес к платформе macOS среди киберпреступников. Пользователям рекомендуется загружать программы только из проверенных источников, избегать установки неподтверждённых приложений и регулярно обновлять системы.
Компания Apple также обратила внимание на рост угроз для macOS и недавно анонсировала улучшения безопасности в следующей версии операционной системы. Так, в macOS Sequoia пользователи больше не смогут обойти защиту Gatekeeper через Control-click для запуска неподписанного ПО.
Вместо этого необходимо будет переходить в “Настройки системы” и вручную разрешать запуск подозрительных программ, что может оградить малоопытных пользователей от случайного заражения своего устройства на базе macOS.