Пользователи macOS под угрозой: новый вирус крадет пароли и криптовалюту
Эксперты по кибербезопасности из компании Cado Security обнаружили новое вредоносное ПО, нацеленное на пользователей операционной системы Apple macOS.
Как сообщает портал Techradar, программа, получившая название Cthulhu Stealer, представляет собой инфостилер, способный похищать широкий спектр конфиденциальных данных, включая пароли, данные криптовалютных кошельков, файлы cookie браузера и многое другое.
Cthulhu Stealer обладает обширным функционалом для кражи информации. Вредоносное ПО способно извлекать системную информацию, пароли связки ключей iCloud (используя для этого инструмент с открытым исходным кодом Chainbreaker), учетные данные для входа в различные сервисы, файлы cookie браузера, а также информацию об аккаунтах Telegram.
Одной из особенностей Cthulhu Stealer является то, что он запрашивает у жертв ввод системного пароля и данных для входа в популярный криптовалютный кошелек MetaMask, что потенциально может привести к значительным финансовым потерям.
Исследователи Cado Security отмечают сходство Cthulhu Stealer с другим вредоносным ПО, известным как Atomic Stealer. Схожесть функционала и особенностей, включая использование osascript для запроса пароля у пользователя и даже наличие одинаковых орфографических ошибок в коде, наводит на мысль о том, что разработчики Cthulhu Stealer могли использовать Atomic Stealer в качестве основы, модифицировав его для своих целей.
Распространение Cthulhu Stealer происходит с помощью маскировки под легитимное программное обеспечение и игры. Злоумышленники распространяют вредоносные файлы под видом популярных программ, таких как CleanMyMac, Grand Theft Auto IV и Adobe GenP (инструмент с открытым исходным кодом, позволяющий обходить сервисы Creative Cloud и активировать программное обеспечение Adobe без серийного ключа).
Для запуска Cthulhu Stealer требуется явное согласие пользователя, поскольку вредоносному ПО необходимо обойти защиту Gatekeeper, встроенную в macOS. Однако, поскольку пользователи считают, что устанавливают легитимное ПО, большинство из них, вероятно, предоставляют такое согласие, не подозревая об угрозе.
После запуска Cthulhu Stealer начинает сбор информации на зараженном устройстве. Собрав все данные, представляющие интерес, вредоносное ПО сжимает их в архив .ZIP и отправляет на сервер злоумышленников (C2) по неизвестному на данный момент каналу связи.
Несмотря на серьезность угрозы, эксперты Cado Security отмечают, что Cthulhu Stealer не является особо сложным или продвинутым вредоносным ПО. Скорее всего, большинство современных антивирусных программ способны обнаружить и обезвредить его.
Тем не менее, пользователям macOS следует проявлять бдительность при загрузке и установке программного обеспечения, чтобы не стать жертвами Cthulhu Stealer и других киберугроз.