安全人员发现新型苹果macOS木马“Cthulhu Stealer”，可窃取用户密码等敏感信息

IT之家 8 月 23 日消息，尽管 MacOS 以安全著称，但近年来已经出现了多种针对该操作系统的恶意软件，例如 Silver Sparrow、KeRanger 和 Atomic Stealer 等。

Cado Security 网络安全研究人员现公布了一种新的 macOS 恶意软件，名为 Cthulhu Stealer，它能够同时针对 x86_64 和 Arm 架构的 MacOS 机型。

▲ 安装时的截图，图源：Cado Security

该软件基于 GoLang 编写，它会伪装成合法软件，例如垃圾清理工具“CleanMyMac”或者《侠盗猎车手 IV》，也有部分会伪装成 Adobe GenP（Adobe 破解工具）。

待用户安装 dmg 后，它就会提示用户打开。当用户打开该文件后，它就会借助 macOS 命令行工具 osascript 提示用户输入密码。

▲ 密码提示

当用户输入密码后，它紧接着又会要求用户输入 MetaMask 密码。此外，Cthulhu Stealer 还会使用名为 Chainbreaker 的开源工具来收集系统信息并转储 iCloud Keychain 密码。

相比于这些密码，Cthulhu Stealer 最主要的目的还是从各种商店中窃取登录凭证，包括加密货币钱包、游戏账户等敏感信息。

它会在“/Users/ Shared / NW”中创建一个目录，将其凭据存储在文本文件中；包含被盗数据的 zip 压缩文件则存在于：/Users/ Shared / NW/[CountryCode] Cthulhu_Mac_OS_[date]_[time].zip。

▲ MetaMask 的密码提示

此外，它还会向 C2 发送通知，以提醒其有新的日志。该恶意软件会对受害者的系统进行信息搜索、收集，例如 IP 地址（详细信息会从 ipinfo.io 获取）、系统信息（包括系统名称、操作系统版本、硬件和软件信息）等等。

据IT之家所知，目前 Cthulhu Stealer 已确定会收集的信息包括：

浏览器 Cookie

Coinbase 钱包

Chrome 扩展钱包

Telegram Tdata 账户信息

《我的世界》用户信息

Wasabi 钱包

MetaMask 钱包

Keychain 密码

SafeStorage 密码

战网平台游戏、缓存和日志数据

Firefox 的 Cookie

Daedalus 钱包

Electrum 钱包

Atomic 钱包

Binanace 钱包

Harmony 钱包

Electrum 钱包

Enjin 钱包

Hoo 钱包

Dapper 钱包

Coinomi 钱包

Trust 钱包

Blockchain 钱包

XDeFI 钱包

对于此类软件，苹果本月早些时候宣布将为 macOS 提供更新，在用户尝试打开未签名或未经认证的软件时进行阻拦。

苹果表示：“在 macOS Sequoia 中，用户将无法在打开未正确签名或未经公证的软件时按住 Control 键来覆盖 Gatekeeper。”“他们需要访问系统设置 > 隐私和安全，在允许软件运行之前查看软件的安全信息。”