Pesquisadores de segurança cibernética descobriram um novo hacker projetado para atingir hosts Apple MacOS e coletar uma variedade de informações, enfatizando que os agentes de ameaças estão cada vez mais voltados para o sistema operacional.
Chamado de Cthulhu Stealer, o malware estava disponível em um modelo de malware como serviço (MaaS) por US$ 500 por mês a partir do final de 2023. Ele pode ter como alvo compilações x86_64 e Arm.
“Cthulhu Stealer é uma imagem de disco da Apple (DMG) agrupada com dois binários, dependendo da construção”, disse Tara Gould, pesquisadora da Cato Security. “O malware é escrito em Golang e se disfarça de software legítimo.”
Alguns dos softwares fabricados incluem CleanMyMac, Grand Theft Auto IV e Adobe GenP, o último dos quais é uma ferramenta de código aberto que corrige aplicativos da Adobe para ignorar o serviço Creative Cloud e desbloqueá-los sem uma chave serial.
Os usuários que acabam iniciando um arquivo não assinado após permitir explicitamente sua execução – ou seja, ignorando as proteções do Gatekeeper – são solicitados a inserir a senha do sistema, um método baseado em osascript que foi adotado por Atomic Stealer, Cuckoo, MacStealer e Banshee Stealer . .
Na próxima etapa, um segundo comando é apresentado para inserir a senha MetaMask. O Cthulhu Stealer também foi projetado para coletar informações do sistema e despejar senhas do iCloud Keychain usando uma ferramenta de código aberto chamada Chainbreaker.
Os dados roubados, incluindo cookies do navegador da web e informações da conta do Telegram, são compactados e armazenados em um arquivo ZIP, após o qual são liberados para um servidor de comando e controle (C2).
“A principal função do Cthulhu Stealer é roubar informações e carteiras de criptomoedas de várias lojas, incluindo contas de jogos”, disse Gould.
“A funcionalidade e os recursos do Cthulhu Stealer são muito semelhantes ao Atomic Stealer, indicando que o desenvolvedor do Cthulhu Stealer provavelmente pegou o Atomic Stealer e modificou o código. O uso do osascript para informar ao usuário sua senha é o mesmo no Atomic Stealer e no Cthulhu , inclusive incluindo erros ortográficos semelhantes.”
Diz-se que os agentes responsáveis pelo malware estão fora do mercado, motivados em parte por disputas sobre pagamentos que levaram a alegações de fraude por parte de afiliados, levando ao banimento de um desenvolvedor importante em um mercado de crimes cibernéticos usado para anunciar o ladrão.
Cthulhu Stealer não é muito sofisticado e não possui nenhuma contramedida que lhe permita ser furtivo. Também carece de qualquer característica notável que o distinga de outras ofertas semelhantes no subsolo.
Embora as ameaças ao macOS sejam muito menores que as do Windows e Linux, os usuários são aconselhados a baixar software apenas de fontes confiáveis, evitar instalar aplicativos não verificados e manter seus sistemas atualizados com as atualizações de segurança mais recentes.
A proliferação de malware para macOS não passou despercebida pela Apple, que, no início deste mês, anunciou uma atualização para sua próxima versão do sistema operacional com o objetivo de adicionar mais atrito ao tentar abrir software mal assinado ou não autorizado.
“No macOS Sequoia, os usuários não poderão mais clicar com a tecla Control pressionada para digitar Gatekeeper ao abrir software mal assinado ou não autorizado”, disse a Apple. “Eles precisarão visitar Configurações do sistema > Privacidade e segurança para revisar as informações de segurança do software antes de permitir sua execução.”
