安全人員發現新型蘋果 macOS 木馬“Cthulhu Stealer”
IT之家 8 月 23 日消息,儘管 MacOS 以安全著稱,但近年來已經出現了多種針對該操作系統的惡意軟件,例如 Silver Sparrow、KeRanger 和 Atomic Stealer 等。
Cado Security 網絡安全研究人員現公佈了一種新的 macOS 惡意軟件,名爲 Cthulhu Stealer,它能夠同時針對 x86_64 和 Arm 架構的 MacOS 機型。
▲安裝時的截圖,圖源:Cado Security該軟件基於 GoLang 編寫,它會僞裝成合法軟件,例如垃圾清理工具“CleanMyMac”或者《俠盜獵車手 IV》,也有部分會僞裝成 Adobe GenP(Adobe 破解工具)。待用戶安裝 dmg 後,它就會提示用戶打開。當用戶打開該文件後,它就會藉助 macOS 命令行工具 osascript 提示用戶輸入密碼。▲密碼提示當用戶輸入密碼後,它緊接着又會要求用戶輸入 MetaMask 密碼。此外,Cthulhu Stealer 還會使用名爲 Chainbreaker 的開源工具來收集系統信息並轉儲 iCloud Keychain 密碼。相比於這些密碼,Cthulhu Stealer 最主要的目的還是從各種商店中竊取登錄憑證,包括加密貨幣錢包、遊戲賬戶等敏感信息。它會在“/Users/ Shared / NW”中創建一個目錄,將其憑據存儲在文本文件中;包含被盜數據的 zip 壓縮文件則存在於:/Users/ Shared / NW/[CountryCode] Cthulhu_Mac_OS_[date]_[time].zip。▲MetaMask 的密碼提示此外,它還會向 C2 發送通知,以提醒其有新的日誌。該惡意軟件會對受害者的系統進行信息搜索、收集,例如 IP 地址(詳細信息會從 ipinfo.io 獲取)、系統信息(包括系統名稱、操作系統版本、硬件和軟件信息)等等。據IT之家所知,目前 Cthulhu Stealer 已確定會收集的信息包括:瀏覽器 CookieCoinbase 錢包Chrome 擴展錢包Telegram Tdata 賬戶信息《我的世界》用戶信息Wasabi 錢包MetaMask 錢包Keychain密碼SafeStorage 密碼戰網平臺遊戲、緩存和日誌數據Firefox 的 CookieDaedalus 錢包Electrum 錢包Atomic錢包Binanace 錢包Harmony 錢包Electrum 錢包Enjin 錢包Hoo 錢包Dapper 錢包Coinomi 錢包Trust 錢包Blockchain錢包XDeFI 錢包對於此類軟件,蘋果本月早些時候宣佈將爲 macOS 提供更新,在用戶嘗試打開未簽名或未經認證的軟件時進行阻攔。蘋果表示:“在 macOS Sequoia 中,用戶將無法在打開未正確簽名或未經公證的軟件時按住 Control 鍵來覆蓋 Gatekeeper。”“他們需要訪問系統設置 > 隱私和安全,在允許軟件運行之前查看軟件的安全信息。”