2024-8-23 15:13| 发布者: 西瓜太郎| 查看: 154| 评论: 0|原作者: Ravie Lakshmanan|来自: The Hacker News
这款名为Cthulhu Stealer的恶意软件从2023年底开始,在恶意软件即服务(MaaS)模式下每月售价500美元。它能够同时针对x86-64和Arm架构。 卡托安全研究员Tara Gould说:“Cthulhu Stealer是一个苹果磁盘映像(DMG),根据架构的不同,它与两个二进制文件捆绑在一起。恶意软件是用Golang编写的,伪装成合法软件。” 它模拟的一些软件程序包括CleanMyMac、侠盗猎车手IV和Adobe GenP,后者是一个开源工具,可以修补Adobe应用程序以绕过Creative Cloud服务,并在没有序列密钥的情况下激活它们。 在明确允许运行未签名文件(即绕过网守保护)后最终启动该文件的用户会被提示输入他们的系统密码,这是一种基于osascript的技术,已被Atomic Stealer、Cuckoo、MacStealer和Banshee Stealer采用。 在下一步中,将出现第二个提示,要求输入他们的MetaMask密码。Cthulhu Stealer还可以使用名为Chainbreaker的开源工具收集系统信息并转储iCloud钥匙串密码。 被盗数据还包括网络浏览器Cookie和Telegram帐户信息,被压缩并存储在ZIP存档文件中,之后被泄露到命令和控制(C2)服务器。 macOS恶意软件,古尔德说:“Cthulhu Stealer的主要功能是从各种商店(包括游戏账户)窃取凭证和加密货币钱包。”。“Cthulhu Stealer的功能和特性与Atomic Stealer非常相似,表明CthulhuStealer开发人员可能使用了Atomic Steiler并修改了代码。使用osascript提示用户输入密码在Atomic Stealler和Cthulho中是相似的,甚至包括相同的拼写错误。” 据说,恶意软件背后的威胁行为者不再活跃,部分原因是支付纠纷导致附属公司指控退出骗局,导致主要开发人员被永久禁止进入用于宣传窃贼的网络犯罪市场。 Cthulhu Stealer并不是特别复杂,也缺乏可以让它秘密操作的反分析技术。它也缺乏任何突出的特征,使其与地下其他类似产品区别开来。 虽然macOS面临的威胁远不如Windows和Linux普遍,但建议用户仅从可信来源下载软件,远离安装未经验证的应用程序,并使他们的系统保持最新的安全更新。 苹果公司并没有忽视macOS恶意软件的激增,本月早些时候,苹果公司宣布对其下一个版本的操作系统进行更新,旨在在试图打开未正确签名或公证的软件时增加更多摩擦。 苹果公司表示:“在macOS Sequoia中,用户在打开未正确签名或未经公证的软件时,将无法再通过控制点击来覆盖Gatekeeper。”。“他们需要访问系统设置>隐私和安全,在允许软件运行之前查看软件的安全信息。” |
