安全人员发现新型苹果 macOS 木马“Cthulhu Stealer”,可窃取用户密码等敏感信息

2024-08-23 22:51IT之家 - 问舟

IT之家 8 月 23 日消息,尽管 MacOS 以安全著称,但近年来已经出现了多种针对该操作系统的恶意软件,例如 Silver Sparrow、KeRanger 和 Atomic Stealer 等。

Cado Security 网络安全研究人员现公布了一种新的 macOS 恶意软件,名为 Cthulhu Stealer,它能够同时针对 x86_64 和 Arm 架构的 MacOS 机型。

▲ 安装时的截图,图源:Cado Security

该软件基于 GoLang 编写,它会伪装成合法软件,例如垃圾清理工具“CleanMyMac”或者《侠盗猎车手 IV》,也有部分会伪装成 Adobe GenP(Adobe 破解工具)。

待用户安装 dmg 后,它就会提示用户打开。当用户打开该文件后,它就会借助 macOS 命令行工具 osascript 提示用户输入密码。

▲ 密码提示 

当用户输入密码后,它紧接着又会要求用户输入 MetaMask 密码。此外,Cthulhu Stealer 还会使用名为 Chainbreaker 的开源工具来收集系统信息并转储 iCloud Keychain 密码。

相比于这些密码,Cthulhu Stealer 最主要的目的还是从各种商店中窃取登录凭证,包括加密货币钱包、游戏账户等敏感信息。

它会在“/Users/ Shared / NW”中创建一个目录,将其凭据存储在文本文件中;包含被盗数据的 zip 压缩文件则存在于:/Users/ Shared / NW/[CountryCode] Cthulhu_Mac_OS_[date]_[time].zip。

▲ MetaMask 的密码提示

此外,它还会向 C2 发送通知,以提醒其有新的日志。该恶意软件会对受害者的系统进行信息搜索、收集,例如 IP 地址(详细信息会从 ipinfo.io 获取)、系统信息(包括系统名称、操作系统版本、硬件和软件信息)等等。

据IT之家所知,目前 Cthulhu Stealer 已确定会收集的信息包括:

  • 浏览器 Cookie

  • Coinbase 钱包

  • Chrome 扩展钱包

  • Telegram Tdata 账户信息

  • 《我的世界》用户信息

  • Wasabi 钱包

  • MetaMask 钱包

  • Keychain 密码

  • SafeStorage 密码

  • 战网平台游戏、缓存和日志数据

  • Firefox 的 Cookie

  • Daedalus 钱包

  • Electrum 钱包

  • Atomic 钱包

  • Binanace 钱包

  • Harmony 钱包

  • Electrum 钱包

  • Enjin 钱包

  • Hoo 钱包

  • Dapper 钱包

  • Coinomi 钱包

  • Trust 钱包

  • Blockchain 钱包

  • XDeFI 钱包

对于此类软件,苹果本月早些时候宣布将为 macOS 提供更新,在用户尝试打开未签名或未经认证的软件时进行阻拦。

苹果表示:“在 macOS Sequoia 中,用户将无法在打开未正确签名或未经公证的软件时按住 Control 键来覆盖 Gatekeeper。”“他们需要访问系统设置 > 隐私和安全,在允许软件运行之前查看软件的安全信息。”

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。

文章价值:
人打分
有价值还可以无价值
置顶评论
    热门评论
      文章发布时间太久,仅显示热门评论
      全部评论
      请登录后查看评论
        取消发送
        软媒旗下人气应用

        如点击保存海报无效,请长按图片进行保存分享