新型恶意软件 Cthulhu Stealer 目标 macOS 用户

关键要点

Cthulhu Stealer 是一种新的恶意软件即服务MaaS，专门为 macOS 用户设计，通过伪装成合法软件诱骗用户并窃取多达24种不同类型的数据。它与另一个名为 Atomic Stealer 的 MAA 服务密切相关，但每月收费仅为 500 美元，较 Atomic Stealer 的 1000 美元更具性价比。该恶意软件在2023年末首次出现，并在近期的 Cado Security 博客文章中揭露。Cthulhu Stealer 使用一些与 Atomic Stealer 相似的技术，但维护和更新不如后者活跃。

Cthulhu Stealer 是一种新识别的针对 macOS 用户的恶意软件即服务MaaS，其通过伪装成合法软件来诱骗用户，然后窃取多达24种不同类型的数据。Cthulhu Stealer 相信是基于另一款名为 Atomic Stealer 的 macOS MaaS 开发的，但按月收费仅为 500 美元，相比之下，网络犯罪分子为 Atomic Stealer 支付的费用则高达 1000 美元。有关该恶意软件的详细信息最初是在 Cado Security 最近发布的 博客文章 中披露的。

Cado Security 的威胁研究负责人 Tara Gould 指出：“Cthulhu 和 Atomic 之间的组织各自独立，但在某些方面有着显著的相似性。Atomic Stealer 提供了购买者控制面板，而 Cthulhu 似乎没有。”她还补充道：“虽然目标文件存储位置有轻微差异，但最新版本的 Atomic Stealer 包含用于混淆的加密例程，其他版本则包含以 Base64 编码的有效负载。”

Cthulhu 和 Atomic 之间的一个显著相似之处在于它们都使用 macOS 命令行工具 osascript 来提示用户输入其密码，以访问存储在钥匙串中的项目；代码中的拼写错误似乎也从 Atomic 转移到了 Cthulhu。

不过，Gould 指出，与 Cthulhu 不同的是，Atomic Stealer “似乎在积极维护中，定期更新并发布新变种。”而 Cthulhu 的操作者 Balaclavv 已因 allegedly scamming its own affiliates 而被永久禁止在其最初广告的网络犯罪市场上活动，并因其涉嫌欺诈而失去数千美元。

2024年3月，网络犯罪网站上的帖子指控 Cthulhu 未能向合伙人支付从受害者那里窃取的钱款，其中一名合伙人声称操作者欠他4500美元。

Gould 说：“Cthulhu Stealer 令人惊讶的是该团伙通过部署这一恶意软件所窃取的金额。在恶意软件的整体框架中，资金并不算多，但它显示用户仍然能够受到感染。”她指出：“Mac 的内置安全工具，如 GateKeeper，应该确保运行的二进制文件经过签名，但这可能与用户的 macOS 版本有关。”

伪装软件攻击玩家及其数据

Cthulhu Stealer 通过伪装成合法软件发起感染，包括 CleanMyMac、Adobe GenP 和备受期待的尚未发布的《侠盗猎车手 VI》视频游戏。

蓝灯加速器评价

该恶意软件本身是一个使用 GoLang 编写的 Apple 磁盘映像DMG，一旦用户启动伪装软件，就会利用 osascript 提示他们输入密码，声称这是更新系统及启动软件所必需的。Gould 指出，这个密码输入确实是访问钥匙串所需，但不是该恶意软件进行其他活动所必需的。同时，还会提示用户输入 MetaMask 密码，该提示的目的是获取这个特定钱包的访问权限。

该信息窃取者利用开源取证工具 Chainbreaker 来提取钥匙串内容，使用 ipinfoio 获取 IP 详情，并“指纹识别”受害者的系统信息，将窃取的数据存储在它为路径