安全人員發(fā)現(xiàn)新型蘋果 macOS 木馬“Cthulhu Stealer”，可竊取用戶密碼等敏感信息

IT之家 8 月 23 日消息，盡管 MacOS 以安全著稱，但近年來已經(jīng)出現(xiàn)了多種針對該操作系統(tǒng)的惡意軟件，例如 Silver Sparrow、KeRanger 和 Atomic Stealer 等。

Cado Security 網(wǎng)絡(luò)安全研究人員現(xiàn)公布了一種新的 macOS 惡意軟件，名為 Cthulhu Stealer，它能夠同時針對 x86_64 和 Arm 架構(gòu)的 MacOS 機(jī)型。

該軟件基于 GoLang 編寫，它會偽裝成合法軟件，例如垃圾清理工具“CleanMyMac”或者《俠盜獵車手 IV》，也有部分會偽裝成 Adobe GenP（Adobe 破解工具）。

待用戶安裝 dmg 后，它就會提示用戶打開。當(dāng)用戶打開該文件后，它就會借助 macOS 命令行工具 osascript 提示用戶輸入密碼。

當(dāng)用戶輸入密碼后，它緊接著又會要求用戶輸入 MetaMask 密碼。此外，Cthulhu Stealer 還會使用名為 Chainbreaker 的開源工具來收集系統(tǒng)信息并轉(zhuǎn)儲 iCloud Keychain 密碼。

相比于這些密碼，Cthulhu Stealer 最主要的目的還是從各種商店中竊取登錄憑證，包括加密貨幣錢包、游戲賬戶等敏感信息。

它會在“/Users/ Shared / NW”中創(chuàng)建一個目錄，將其憑據(jù)存儲在文本文件中；包含被盜數(shù)據(jù)的 zip 壓縮文件則存在于：/Users/ Shared / NW/[CountryCode] Cthulhu_Mac_OS_[date]_[time].zip。

此外，它還會向 C2 發(fā)送通知，以提醒其有新的日志。該惡意軟件會對受害者的系統(tǒng)進(jìn)行信息搜索、收集，例如 IP 地址（詳細(xì)信息會從 ipinfo.io 獲取）、系統(tǒng)信息（包括系統(tǒng)名稱、操作系統(tǒng)版本、硬件和軟件信息）等等。

據(jù)IT之家所知，目前 Cthulhu Stealer 已確定會收集的信息包括：

• 瀏覽器 Cookie

• Coinbase 錢包

• Chrome 擴(kuò)展錢包

• Telegram Tdata 賬戶信息

• 《我的世界》用戶信息

• Wasabi 錢包

• MetaMask 錢包

• Keychain 密碼

• SafeStorage 密碼

• 戰(zhàn)網(wǎng)平臺游戲、緩存和日志數(shù)據(jù)

• Firefox 的 Cookie

• Daedalus 錢包

• Electrum 錢包

• Atomic 錢包

• Binanace 錢包

• Harmony 錢包

• Electrum 錢包

• Enjin 錢包

• Hoo 錢包

• Dapper 錢包

• Coinomi 錢包

• Trust 錢包

• Blockchain 錢包

• XDeFI 錢包

對于此類軟件，蘋果本月早些時候宣布將為 macOS 提供更新，在用戶嘗試打開未簽名或未經(jīng)認(rèn)證的軟件時進(jìn)行阻攔。

蘋果表示：“在 macOS Sequoia 中，用戶將無法在打開未正確簽名或未經(jīng)公證的軟件時按住 Control 鍵來覆蓋 Gatekeeper?！薄八麄冃枰L問系統(tǒng)設(shè)置 > 隱私和安全，在允許軟件運行之前查看軟件的安全信息?！?/p>

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。