Novo malware mira usuários Apple
23 de Agosto de 2024

Pesquisadores de cibersegurança descobriram um novo information stealer projetado para visar hosts da Apple macOS e coletar uma ampla gama de informações, sublinhando como os atores de ameaças estão cada vez mais de olho no sistema operacional.

Batizado de Cthulhu Stealer, o malware tem sido disponibilizado sob um modelo de malware-as-a-service (MaaS) por $500 mensais desde o final de 2023.

Ele é capaz de visar, tanto a arquitetura x86_64 quanto Arm.

"Cthulhu Stealer é uma imagem de disco da Apple (DMG) que vem com dois binários, dependendo da arquitetura," disse Tara Gould, pesquisadora da Cato Security.

O malware é escrito em Golang e se disfarça como um software legítimo. Alguns dos programas de software que ele imita incluem CleanMyMac, Grand Theft Auto IV e Adobe GenP, este último é uma ferramenta open-source que aplica patches em aplicativos da Adobe para contornar o serviço Creative Cloud e ativá-los sem uma chave serial.

Usuários que acabam executando o arquivo não assinado após permitirem explicitamente sua execução – ou seja, contornando as proteções do Gatekeeper – são solicitados a inserir a senha do seu sistema, uma técnica baseada em osascript que também foi adotada por malwares como Atomic Stealer, Cuckoo, MacStealer e Banshee Stealer.

No próximo passo, uma segunda solicitação é apresentada para entrar com a senha do MetaMask.

Cthulhu Stealer também é projetado para coletar informações do sistema e extrair senhas do iCloud Keychain usando uma ferramenta open-source chamada Chainbreaker.

Os dados roubados, que também incluem cookies de navegadores web e informações de conta do Telegram, são comprimidos e armazenados em um arquivo ZIP, após o qual são exfiltrados para um servidor de comando e controle (C2).

"A principal funcionalidade do Cthulhu Stealer é roubar credenciais e carteiras de criptomoedas de várias lojas, incluindo contas de jogos," disse Gould.

A funcionalidade e os recursos do Cthulhu Stealer são muito semelhantes aos do Atomic Stealer, indicando que o desenvolvedor do Cthulhu Stealer provavelmente pegou o Atomic Stealer e modificou o código.

O uso de osascript para solicitar a senha do usuário é semelhante no Atomic Stealer e no Cthulhu, incluindo até os mesmos erros de digitação. Diz-se que os atores por trás do malware não estão mais ativos, em parte, impulsionados por disputas sobre pagamentos que levaram a acusações de exit scam por afiliados, resultando na proibição permanente do desenvolvedor principal de um mercado de crimes cibernéticos usado para anunciar o stealer.

Cthulhu Stealer não é particularmente sofisticado e carece de técnicas anti-análise que poderiam permitir que ele operasse de forma furtiva.

Também lhe falta qualquer recurso de destaque que o distinga de outras ofertas similares no submundo.

Embora ameaças ao macOS sejam muito menos prevalentes do que para Windows e Linux, usuários são aconselhados a baixar software apenas de fontes confiáveis, evitar a instalação de apps não verificados e manter seus sistemas atualizados com as últimas atualizações de segurança.

O aumento do malware no macOS não passou despercebido pela Apple, que, no início deste mês, anunciou uma atualização para a próxima versão do sistema operacional que visa adicionar mais fricção ao tentar abrir software que não esteja assinado corretamente ou notarizado.

"No macOS Sequoia, os usuários não poderão mais Control-click para contornar o Gatekeeper ao abrir software que não esteja assinado corretamente ou notarizado," disse a Apple.

Eles precisarão visitar Configurações do Sistema > Privacidade & Segurança para revisar informações de segurança do software antes de permitir que ele seja executado.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...