安全人員發現新型蘋果 macOS 木馬“Cthulhu Stealer”

IT之家 8 月 23 日消息，儘管 MacOS 以安全著稱，但近年來已經出現了多種針對該操作系統的惡意軟件，例如 Silver Sparrow、KeRanger 和 Atomic Stealer 等。

Cado Security 網絡安全研究人員現公佈了一種新的 macOS 惡意軟件，名爲 Cthulhu Stealer，它能夠同時針對 x86_64 和 Arm 架構的 MacOS 機型。

▲安裝時的截圖，圖源：Cado Security該軟件基於 GoLang 編寫，它會僞裝成合法軟件，例如垃圾清理工具“CleanMyMac”或者《俠盜獵車手 IV》，也有部分會僞裝成 Adobe GenP（Adobe 破解工具）。待用戶安裝 dmg 後，它就會提示用戶打開。當用戶打開該文件後，它就會藉助 macOS 命令行工具 osascript 提示用戶輸入密碼。▲密碼提示當用戶輸入密碼後，它緊接着又會要求用戶輸入 MetaMask 密碼。此外，Cthulhu Stealer 還會使用名爲 Chainbreaker 的開源工具來收集系統信息並轉儲 iCloud Keychain 密碼。相比於這些密碼，Cthulhu Stealer 最主要的目的還是從各種商店中竊取登錄憑證，包括加密貨幣錢包、遊戲賬戶等敏感信息。它會在“/Users/ Shared / NW”中創建一個目錄，將其憑據存儲在文本文件中；包含被盜數據的 zip 壓縮文件則存在於：/Users/ Shared / NW/[CountryCode] Cthulhu_Mac_OS_[date]_[time].zip。▲MetaMask 的密碼提示此外，它還會向 C2 發送通知，以提醒其有新的日誌。該惡意軟件會對受害者的系統進行信息搜索、收集，例如 IP 地址（詳細信息會從 ipinfo.io 獲取）、系統信息（包括系統名稱、操作系統版本、硬件和軟件信息）等等。據IT之家所知，目前 Cthulhu Stealer 已確定會收集的信息包括：瀏覽器 CookieCoinbase 錢包Chrome 擴展錢包Telegram Tdata 賬戶信息《我的世界》用戶信息Wasabi 錢包MetaMask 錢包Keychain密碼SafeStorage 密碼戰網平臺遊戲、緩存和日誌數據Firefox 的 CookieDaedalus 錢包Electrum 錢包Atomic錢包Binanace 錢包Harmony 錢包Electrum 錢包Enjin 錢包Hoo 錢包Dapper 錢包Coinomi 錢包Trust 錢包Blockchain錢包XDeFI 錢包對於此類軟件，蘋果本月早些時候宣佈將爲 macOS 提供更新，在用戶嘗試打開未簽名或未經認證的軟件時進行阻攔。蘋果表示：“在 macOS Sequoia 中，用戶將無法在打開未正確簽名或未經公證的軟件時按住 Control 鍵來覆蓋 Gatekeeper。”“他們需要訪問系統設置 > 隱私和安全，在允許軟件運行之前查看軟件的安全信息。”