Pesquisadores de cibersegurança descobriram um novo information stealer projetado para visar hosts da Apple macOS e coletar uma ampla gama de informações, sublinhando como os atores de ameaças estão cada vez mais de olho no sistema operacional.
Batizado de Cthulhu Stealer, o malware tem sido disponibilizado sob um modelo de malware-as-a-service (MaaS) por $500 mensais desde o final de 2023.
Ele é capaz de visar, tanto a arquitetura x86_64 quanto Arm.
"Cthulhu Stealer é uma imagem de disco da Apple (DMG) que vem com dois binários, dependendo da arquitetura," disse Tara Gould, pesquisadora da Cato Security.
O malware é escrito em Golang e se disfarça como um software legítimo. Alguns dos programas de software que ele imita incluem CleanMyMac, Grand Theft Auto IV e Adobe GenP, este último é uma ferramenta open-source que aplica patches em aplicativos da Adobe para contornar o serviço Creative Cloud e ativá-los sem uma chave serial.
Usuários que acabam executando o arquivo não assinado após permitirem explicitamente sua execução – ou seja, contornando as proteções do Gatekeeper – são solicitados a inserir a senha do seu sistema, uma técnica baseada em osascript que também foi adotada por malwares como Atomic Stealer, Cuckoo, MacStealer e Banshee Stealer.
No próximo passo, uma segunda solicitação é apresentada para entrar com a senha do MetaMask.
Cthulhu Stealer também é projetado para coletar informações do sistema e extrair senhas do iCloud Keychain usando uma ferramenta open-source chamada Chainbreaker.
Os dados roubados, que também incluem cookies de navegadores web e informações de conta do Telegram, são comprimidos e armazenados em um arquivo ZIP, após o qual são exfiltrados para um servidor de comando e controle (C2).
"A principal funcionalidade do Cthulhu Stealer é roubar credenciais e carteiras de criptomoedas de várias lojas, incluindo contas de jogos," disse Gould.
A funcionalidade e os recursos do Cthulhu Stealer são muito semelhantes aos do Atomic Stealer, indicando que o desenvolvedor do Cthulhu Stealer provavelmente pegou o Atomic Stealer e modificou o código.
O uso de osascript para solicitar a senha do usuário é semelhante no Atomic Stealer e no Cthulhu, incluindo até os mesmos erros de digitação. Diz-se que os atores por trás do malware não estão mais ativos, em parte, impulsionados por disputas sobre pagamentos que levaram a acusações de exit scam por afiliados, resultando na proibição permanente do desenvolvedor principal de um mercado de crimes cibernéticos usado para anunciar o stealer.
Cthulhu Stealer não é particularmente sofisticado e carece de técnicas anti-análise que poderiam permitir que ele operasse de forma furtiva.
Também lhe falta qualquer recurso de destaque que o distinga de outras ofertas similares no submundo.
Embora ameaças ao macOS sejam muito menos prevalentes do que para Windows e Linux, usuários são aconselhados a baixar software apenas de fontes confiáveis, evitar a instalação de apps não verificados e manter seus sistemas atualizados com as últimas atualizações de segurança.
O aumento do malware no macOS não passou despercebido pela Apple, que, no início deste mês, anunciou uma atualização para a próxima versão do sistema operacional que visa adicionar mais fricção ao tentar abrir software que não esteja assinado corretamente ou notarizado.
"No macOS Sequoia, os usuários não poderão mais Control-click para contornar o Gatekeeper ao abrir software que não esteja assinado corretamente ou notarizado," disse a Apple.
Eles precisarão visitar Configurações do Sistema > Privacidade & Segurança para revisar informações de segurança do software antes de permitir que ele seja executado.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...