Cado Security
MacOS平台向来被认为比较少恶意软体,但现今已渐渐吸引骇客注意力。资安业者Cado Security发现一款恶意程式Cthulhu Stealer,专门锁定macOS电脑用户窃取密码、cookies或其他敏感资讯。
Cthulhu Stealer(或简称Cthulhu)为一恶意程式即服务(malware-as-a-service,MaaS),是由一个代号Cthulhu或Balaclavv的用户在Telegram频道及二个暗网交易市集兜售,以每月500美元提供服务,由其开发人员和同伙向macOS用户发动攻击。Cthulhu是2023年底现身,并在今年头几个月内开始活动。
Cthulhu本身是一种Apple磁碟映像档(DMG档),视架构而定,可附加于2种二进位档。它以GoLang写成,可伪装成合法软体。研究人员发现它曾经冒充过合法软体如硬碟清理工具CleanMyMac、游戏软体Grand Theft Auto IV以及Adobe GenP,诱使用户下载。
一旦用户下载安装.dmg档,它会要求用户开启档案,并启动macOS的指令行工具osascript就会接连要求用户输入它想窃取的敏感资讯,包括cookies、帐号或电子钱包密码。研究人员归纳Cthulhu的窃取目标包含Chrome与Firefox浏览器cookies、Telegram密码、Apple Keychain、SafeStorage、Minecraft帐号以及十多种电子钱包应用如Chrome Extension Wallet、MetaMask、XDeFI、Coinbase或Blockchain Wallet等等。
研究人员并公布了Cthulhu的Yara侦测规则,以及该恶意程式安装时会在用户电脑/Users/Shared/NW路径下建立资料夹。
Cthulhu是资安专家发现最新一只攻击Mac电脑用户的窃密程式。从早期的KeRanger和Silver Sparrow开始逐渐增多。今年资安业者SentinelOne发现窃资软体KeySteal、Atomic Stealer、CherryPie,都能绕过macOS作业系统的防护机制XProtect窃取用户敏感资料。