Експерти з кібербезпеки з Cado Security виявили нову шкідливу програму, яка краде інформацію та націлена на Apple macOS. Шкідливе ПЗ називається Cthulhu Stealer і здатне красти всілякі дані, включаючи системну інформацію, паролі зв’язки ключів iCloud, інші облікові дані для входу, файли cookie веб-браузера та інформацію про облікові записи Telegram.
Крім того, Cthulhu Stealer пропонує жертвам ввести системний пароль, а також дані для входу до популярного криптовалютного гаманця MetaMask. “Основна функція Cthulhu Stealer – крадіжка облікових даних та криптовалютних гаманців з різних магазинів, включаючи ігрові акаунти”, – йдеться у звіті дослідників Cado Security.
Експерти також зазначили, що функціональність та особливості Cthulhu Stealer дуже схожі на Atomic Stealer, що вказує на те, що розробник Cthulhu Stealer, ймовірно, взяв Atomic Stealer та змінив код. Використання osascript для запиту пароля користувача в Atomic Stealer і Cthulhu схоже, навіть включаючи самі орфографічні помилки.
Жертв зазвичай обманюють, змушуючи їх завантажити шкідливе ПЗ, оскільки воно рекламується як легальне програмне забезпечення та ігри, або CleanMyMac, Grand Theft Auto IV та Adobe GenP (інструмент з відкритим вихідним кодом, який дозволяє користувачам Adobe обходити сервіси Creative Cloud та активувати програмне забезпечення без серійного ключа).
Як тільки Cthulhu, запуск якого, мабуть, коштує $500 і працює як на архітектурі x86_64, так і на архітектурі Arm, збирає всю цікаву інформацію, він стискає її в архів .ZIP, а потім невідомим чином пересилає на сервер управління і контролю (C2). Хорошою новиною є те, що шкідливе програмне забезпечення не є особливо просунутим і, ймовірно, буде виявлено більшістю кращих антивірусних продуктів, доступних сьогодні.