尽管 MacOS 以安全著称,但近年来已经出现了多种针对该操作系统的恶意软件,例如 Silver Sparrow、KeRanger 和 Atomic Stealer 等。
Cado Security 网络安全研究人员现公布了一种新的 macOS 恶意软件,名为 Cthulhu Stealer,它能够同时针对 x86_64 和 Arm 架构的 MacOS 机型。
该软件基于 GoLang 编写,它会伪装成合法软件,例如垃圾清理工具“CleanMyMac”或者《侠盗猎车手 IV》,也有部分会伪装成 Adobe GenP(Adobe 破解工具)。
待用户安装 dmg 后,它就会提示用户打开。当用户打开该文件后,它就会借助 macOS 命令行工具 osascript 提示用户输入密码。
当用户输入密码后,它紧接着又会要求用户输入 MetaMask 密码。此外,Cthulhu Stealer 还会使用名为 Chainbreaker 的开源工具来收集系统信息并转储 iCloud Keychain 密码。
相比于这些密码,Cthulhu Stealer 最主要的目的还是从各种商店中窃取登录凭证,包括加密货币钱包、游戏账户等敏感信息。
它会在“/Users/ Shared / NW”中创建一个目录,将其凭据存储在文本文件中;包含被盗数据的 zip 压缩文件则存在于:/Users/ Shared / NW/[CountryCode] Cthulhu_Mac_OS_[date]_[time].zip。
此外,它还会向 C2 发送通知,以提醒其有新的日志。该恶意软件会对受害者的系统进行信息搜索、收集,例如 IP 地址(详细信息会从 ipinfo.io 获取)、系统信息(包括系统名称、操作系统版本、硬件和软件信息)等等。
据IT之家所知,目前 Cthulhu Stealer 已确定会收集的信息包括:
浏览器 Cookie
Coinbase 钱包
Chrome 扩展钱包
Telegram Tdata 账户信息
《我的世界》用户信息
Wasabi 钱包
MetaMask 钱包
Keychain 密码
SafeStorage 密码
战网平台游戏、缓存和日志数据
Firefox 的 Cookie
Daedalus 钱包
Electrum 钱包
Atomic 钱包
Binanace 钱包
Harmony 钱包
Electrum 钱包
Enjin 钱包
Hoo 钱包
Dapper 钱包
Coinomi 钱包
Trust 钱包
Blockchain 钱包
XDeFI 钱包
对于此类软件,苹果本月早些时候宣布将为 macOS 提供更新,在用户尝试打开未签名或未经认证的软件时进行阻拦。
苹果表示:“在 macOS Sequoia 中,用户将无法在打开未正确签名或未经公证的软件时按住 Control 键来覆盖 Gatekeeper。”“他们需要访问系统设置 > 隐私和安全,在允许软件运行之前查看软件的安全信息。”
