Skip to main content

Ктулху-похититель в действии [Cado Security]

Исследователи обнаружили еще одну вредоносную программу для macOS, способную перехватывать данные: «Cthulhu Stealer» продается интернет-преступникам всего за 500 долларов в месяц.

Mac становится все более уязвимой целью для вредоносного ПО, и предупреждения от исследователей появляются регулярно. В последнем примере речь идет о вредоносном ПО, которое циркулирует уже несколько месяцев.

Как объяснила Cato Security и сообщило Hacker News в пятницу, вредоносная программа под названием «Cthulu Stealer», по-видимому, существует с конца 2023 года. Она представляет собой «вредоносное ПО как услугу» и может использоваться интернет-преступниками всего за 500 долларов в месяц.

Плохие образы дисков

Вредоносная программа принимает форму образа диска Apple, содержащего пару двоичных файлов. Это позволяет ей атаковать как Intel, так и Apple Silicon Mac, в зависимости от обнаруженной архитектуры.

Чтобы попытаться побудить потребителей открыть его, вредоносное ПО будет замаскировано под другое программное обеспечение, включая Grand Theft Auto IV и CleanMyMac. Оно также появилось как Adobe GenP, инструмент для исправления приложений Adobe, чтобы они не полагались на получение платного ключа безопасности от Creative Cloud.

Предполагаемое содержимое было уловкой, чтобы убедить пользователей запустить неподписанный файл и разрешить его запуск после обхода Gatekeeper. Затем пользователей просят ввести системный пароль, а затем пароль для криптовалютного кошелька MetaMask.

При наличии этих паролей похищаются системная информация и пароли iCloud Keychain, а также файлы cookie веб-браузера и данные аккаунта Telegram. Они отправляются на сервер управления.

«Основная функция Cthulhu Stealer — кража учетных данных и криптовалютных кошельков из различных магазинов, включая игровые аккаунты», — рассказала исследователь Cato Security Тара Гулд.

Заимствование кода

Анализ вредоносного ПО показывает, что оно похоже на другое, ранее обнаруженное под названием «Atomic Stealer».

Предполагается, что тот, кто создал Cthulu Stealer, использовал код, который создал Atomic Stealer, в качестве основы. Помимо функциональности, главным доказательством этого является скрипт OSA, который запрашивает пароль пользователя, в котором есть те же орфографические ошибки.

Необычно для обнаруженного вредоносного ПО, похоже, что создатели Cthulhu Stealer не могут справиться с ним из-за споров об оплате. Разработчик, стоящий за ним, был навсегда забанен на рынке киберпреступности, который рекламировал инструмент, из-за обвинений в мошенничестве с выходом, которое затронуло других пользователей рынка.

Защитите себя

Пользователям не нужно прилагать особых усилий, чтобы защитить себя от Cthulhu Stealer, хотя бы из-за проблем с контролем прав собственности.

Как обычно, советуем быть бдительными в отношении того, какие приложения вы загружаете, загружаете ли вы их из безопасных источников и обращаете внимание на то, что делает приложение при установке.

Что касается переопределения Gatekeeper, это можно легко сделать в macOS Sonoma и более ранних версиях. В macOS Sequoia пользователи не могут использовать Control-click для переопределения Gatekeeper, но вместо этого им нужно будет зайти в Системные настройки, а затем в Конфиденциальность и безопасность, чтобы просмотреть информацию о безопасности программного обеспечения.

Это изменение должно сократить количество случаев обхода Gatekeeper просто за счет добавления дополнительных препятствий.

Тем не менее, пользователям следует обращать внимание на те случаи, когда Gatekeeper возражает против установки или запуска приложения.