Древнее зло пробудилось: Cthulhu Stealer похищает криптоактивы на macOS

Исследователи из компании Cado Security обнаружили новое вредоносное ПО, ориентированное на пользователей операционной системы macOS . Этот вредонос, получивший название «Cthulhu Stealer», разработан для сбора широкого спектра данных с устройств Apple , что подчёркивает растущую активность киберпреступников, нацеленную на эту платформу.

Cthulhu Stealer распространяется с конца 2023 года по модели «вредоносное ПО как услуга» (MaaS) с ценой $500 в месяц. Он способен работать как на архитектуре x86_64, так и на Arm. Вредоносное ПО маскируется под легитимное программное обеспечение, включая популярные приложения, такие как CleanMyMac и даже видеоигра Grand Theft Auto IV. В ходе атаки используется образ диска Apple ( DMG ), содержащий два бинарных файла, адаптированных под разные архитектуры.

Основная опасность заключается в том, что пользователи, решившие запустить неподписанный файл, вынуждены обходить защиту Gatekeeper и вводить системный пароль.

Вредоносное ПО также может запрашивать пароль от MetaMask , что делает его особо опасным для владельцев криптовалютных кошельков. Cthulhu Stealer собирает информацию о системе и извлекает пароли из iCloud Keychain, используя открытый инструмент Chainbreaker.

Собранные данные, включая куки веб-браузеров и информацию аккаунтов Telegram, сжимаются в архив и отправляются на сервер злоумышленников. Основная цель этого вредоноса — похищение учётных данных и криптовалютных кошельков, а также учётных записей в играх.

По данным Cado Security, функции Cthulhu Stealer во многом схожи с другим известным вредоносом — Atomic Stealer. Вероятно, разработчик Cthulhu Stealer взял за основу код Atomic Stealer и внёс в него изменения.

На данный момент, злоумышленники, стоящие за разработкой Cthulhu Stealer, прекратили свою деятельность. Внутренние конфликты и споры о выплатах привели к обвинениям в мошенничестве и к тому, что главный разработчик был навсегда заблокирован на киберпреступном рынке, где и продвигалось это ПО.

Хотя Cthulhu Stealer и не отличается высокой сложностью или уникальными функциями, его существование подчёркивает возросший интерес к платформе macOS среди киберпреступников. Пользователям рекомендуется загружать программы только из проверенных источников, избегать установки неподтверждённых приложений и регулярно обновлять системы.

Компания Apple также обратила внимание на рост угроз для macOS и недавно анонсировала улучшения безопасности в следующей версии операционной системы. Так, в macOS Sequoia пользователи больше не смогут обойти защиту Gatekeeper через Control-click для запуска неподписанного ПО.

Вместо этого необходимо будет переходить в «Настройки системы» и вручную разрешать запуск подозрительных программ, что может оградить малоопытных пользователей от случайного заражения своего устройства на базе macOS.