Эксперты по кибербезопасности из Cado Security обнаружили новую вредоносную программу, которая крадёт информацию и нацелена на Apple macOS.
Вредоносное ПО называется Cthulhu Stealer и способно красть всевозможные данные, включая системную информацию, пароли связки ключей iCloud, другие учётные данные для входа, файлы cookie веб-браузера и информацию об аккаунтах Telegram.
Кроме того, Cthulhu Stealer предлагает жертвам ввести системный пароль, а также данные для входа в популярный криптовалютный кошелек MetaMask. «Основная функция Cthulhu Stealer — кража учётных данных и криптовалютных кошельков из различных магазинов, включая игровые аккаунты», — говорится в отчёте исследователей Cado Security.
Эксперты также отметили, что функциональность и особенности Cthulhu Stealer очень похожи на Atomic Stealer, что указывает на то, что разработчик Cthulhu Stealer, вероятно, взял Atomic Stealer и изменил код. Использование osascript для запроса пароля у пользователя в Atomic Stealer и Cthulhu похоже, даже включая те же орфографические ошибки.
Жертв обычно обманывают, заставляя их загрузить вредоносное ПО, поскольку оно рекламируется как легальное программное обеспечение и игры, либо CleanMyMac, Grand Theft Auto IV и Adobe GenP (инструмент с открытым исходным кодом, который позволяет пользователям Adobe обходить сервисы Creative Cloud и активировать программное обеспечение без серийного ключа).
Как только Cthulhu, запуск которого, по-видимому, обходится в $500 и работает как на архитектуре x86_64, так и на архитектуре Arm, собирает всю интересную информацию, он сжимает её в архив .ZIP, а затем неизвестным образом пересылает на сервер управления и контроля (C2).
Хорошей новостью является то, что вредоносное ПО не является особо продвинутым и, вероятно, будет обнаружено большинством лучших антивирусных продуктов, доступных сегодня.