Cato Security 发现一种名为 Cthulhu Stealer 的新信息窃取程序,它以 Apple macOS 为目标,窃取大量信息。
Cthulhu Stealer通过伪装成合法软件的 Apple 磁盘映像 (DMG) 攻击 macOS 用户。研究人员发现 Cthulhu Stealer 会冒充 Adobe GenP、CleanMyMac 和 Grand Theft Auto IV 等合法软件的磁盘映像。
恶意代码用 GoLang 编写,在安装 dmg 时,它会提示用户使用 macOSosascript工具输入他们的系统和 MetaMask 密码。
一旦用户输入了凭证,恶意软件就会将其存储在一个目录中,并使用 Chainbreak 转储 Keychain 密码。然后,恶意软件会创建一个包含系统和网络信息的 zip 存档,并向命令和控制 (C2) 服务器发送通知。该恶意软件还会收集系统信息,包括 IP 地址和硬件/软件信息。
“Cthulhu Stealer 的主要功能是从各种商店窃取凭证和加密货币钱包,包括游戏账户。
有多个检查器函数可以检查目标文件存储的安装文件夹,通常在“Library/Application Support/[file store]”中。”
Cado Security 发布的报告(https://www.cadosecurity.com/blog/from-the-depths-analyzing-the-cthulhu-stealer-malware-for-macos)写道:“在 /Users/Shared/NW 中创建一个目录,并将安装文件夹的内容转储到每个商店的文本文件中。”
该恶意软件可以从各种来源窃取各种类型的信息。其中包括浏览器 cookie,它可以让攻击者访问用户会话和存储的密码,以及众多加密货币钱包。例如 Coinbase、MetaMask、Wasabi、Binance、Daedalus、Electrum、Atomic、Harmony、Enjin、Hoo、Dapper、Coinomi、Trust、Blockchain 和 XDeFI 钱包,突显了该恶意软件专注于利用金融数据。
此外,该恶意软件还针对特定的应用程序和服务,窃取 Telegram 的 Tdata 帐户信息、Minecraft 用户帐户,甚至 Battlenet 的游戏相关文件,表明它有可能破坏个人和游戏活动。该恶意软件还可以转储 Keychain 和 SafeStorage 密码。
Cthulhu Stealer 与Atomic Stealer信息窃取程序具有相似的功能和特性,因此专家推测它们可能是由同一开发人员创建的。这两个窃取程序都使用 macOS 命令行工具osascript提示用户输入密码,甚至在提示中包含相同的拼写错误。
Cthulhu Stealer 的开发者和附属机构以 Cthulhu 团队的名义运营,通过 Telegram 进行交流并以每月 500 美元的价格出租他们的恶意软件。联盟会员负责部署恶意软件,并从主要开发者那里获得一定比例的收益。Cthulhu Stealer 已在两个知名恶意软件市场上出售,并在 Telegram 上做广告。
