对于 macOS 用户和加密货币持有者来说,令人担忧的是,安全研究人员发现了一种名为“Cthulhu Stealer”的新型恶意软件即服务 (MaaS)。


根据 Cado Security 最近发布的报告,这种恶意软件专门针对 macOS 系统,挑战了人们长期以来认为 Apple 操作系统不受此类威胁影响的看法。


虽然 macOS 一直以安全著称,但近年来针对 Apple 平台的恶意软件数量有所增加。值得注意的例子包括 Silver Sparrow、KeRanger 和 Atomic Stealer。Cthulhu Stealer 是这个不断增长的名单中的最新成员,表明 macOS 用户的网络安全形势发生了变化。


根据 Cado 的报告,Cthulhu Stealer 以 Apple 磁盘映像 (DMG) 文件的形式分发,伪装成 CleanMyMac、侠盗猎车手 IV 或 Adob​​e GenP 等合法软件。该恶意软件以 GoLang 编写,适用于 x86_64 和 ARM 架构。此前有报道称,另一款针对《使命召唤》玩家的加密窃取恶意软件最近也出现了。


恶意软件执行后,会使用 osascript 提示用户输入系统密码和 MetaMask 凭证。然后,它会在“/Users/Shared/NW”中创建一个目录来存储被盗信息。该恶意软件的主要功能是从各种来源提取凭证和加密货币钱包,包括浏览器 cookie、游戏帐户和多个加密货币钱包。


Cthulhu Stealer 与 2023 年发现的另一种针对 macOS 的恶意软件 Atomic Stealer 有相似之处。两者都是用 Go 编写的,专注于窃取加密钱包、浏览器凭据和钥匙串数据。功能上的相似性表明 Cthulhu Stealer 可能是 Atomic Stealer 的修改版本。


该恶意软件由一个名为“Cthulhu Team”的组织运营,他们使用 Telegram 进行通信。他们以每月 500 美元的价格出租该窃取程序,这是恶意软件即服务模式的一部分,其关联方负责部署并从中收取一定比例的收益。


恶意软件即服务是网络犯罪界的一种商业模式,即恶意软件和相关服务被出售或出租给客户(通常是其他犯罪分子)。这使得没有高级技术技能的个人或团体可以使用预制的恶意软件工具和基础设施进行网络攻击。MaaS 提供商通常提供客户支持、更新和定制选项,类似于合法的软件服务。


然而,最近的事态发展表明该行动内部存在问题。


根据 Cado 的报告,附属机构已对主要开发商(称为“Cthulhu”或“Balaclavv”)提出投诉,指控他们扣留付款。研究人员指出,这导致开发商被至少一个恶意软件市场禁止。


由 Stacy Elliott 编辑。