Los investigadores de ciberseguridad han descubierto un nuevo ladrón de información que está diseñado para atacar los hosts macOS de Apple y recopilar una amplia gama de información, lo que subraya cómo los actores de amenazas están poniendo cada vez más sus miras en el sistema operativo.
El malware, denominado Cthulhu Stealer, está disponible bajo un modelo de malware como servicio (MaaS) por 500 dólares al mes desde finales de 2023. Es capaz de atacar arquitecturas x86_64 y Arm.
«Cthulhu Stealer es una imagen de disco de Apple (DMG) que se incluye con dos binarios, según la arquitectura», dijo la investigadora de seguridad de Cato, Tara Gould. dicho«El malware está escrito en Golang y se disfraza de software legítimo».
Algunos de los programas de software que suplanta incluyen CleanMyMac, Grand Theft Auto IV y Adobe GenP, el último de los cuales es una herramienta de código abierto que parchea las aplicaciones de Adobe para evitar el servicio Creative Cloud y las activa sin una clave de serie.
A los usuarios que terminan ejecutando el archivo sin firmar después de permitir explícitamente su ejecución (es decir, evadiendo las protecciones de Gatekeeper) se les solicita que ingresen su contraseña del sistema, una técnica basada en osascript que ha sido adoptada por Atomic Stealer, Cuckoo, MacStealer y Banshee Stealer.
En el siguiente paso, se presenta un segundo mensaje para ingresar la contraseña de MetaMask. Cthulhu Stealer también está diseñado para recopilar información del sistema y descargar contraseñas de iCloud Keychain mediante una herramienta de código abierto llamada Rompecadenas.
Los datos robados, que también incluyen cookies del navegador web e información de la cuenta de Telegram, se comprimen y almacenan en un archivo ZIP, después de lo cual se filtran a un servidor de comando y control (C2).
«La funcionalidad principal de Cthulhu Stealer es robar credenciales y billeteras de criptomonedas de varias tiendas, incluidas las cuentas de juegos», dijo Gould.
«La funcionalidad y las características de Cthulhu Stealer son muy similares a Ladrón atómicolo que indica que el desarrollador de Cthulhu Stealer probablemente tomó Atomic Stealer y modificó el código. El uso de osascript para solicitar al usuario su contraseña es similar en Atomic Stealer y Cthulhu, incluso incluye los mismos errores ortográficos.
Se dice que los actores de amenazas detrás del malware ya no están activos, en parte debido a disputas sobre pagos que han llevado a acusaciones de estafa de salida por parte de afiliados, lo que resultó en que el desarrollador principal fuera expulsado permanentemente de un mercado de delitos cibernéticos utilizado para publicitar al ladrón.
Cthulhu Stealer no es especialmente sofisticado y carece de técnicas antianálisis que le permitan operar de forma sigilosa. Tampoco tiene ninguna característica destacada que lo distinga de otras ofertas similares en el mundo underground.
Si bien las amenazas a macOS son mucho menos frecuentes que a Windows y Linux, se recomienda a los usuarios que descarguen software solo de fuentes confiables, eviten instalar aplicaciones no verificadas y mantengan sus sistemas actualizados con las últimas actualizaciones de seguridad.
El aumento del malware en macOS no ha pasado desapercibido para Apple, que a principios de este mes anunció una actualización de su próxima versión del sistema operativo que tiene como objetivo agregar más fricción al intentar abrir software que no esté firmado correctamente o notariado.
«En macOS Sequoia, los usuarios ya no podrán hacer clic con la tecla Control presionada para anular Gatekeeper al abrir software que no esté firmado correctamente o no esté certificado», dijo Apple. «Deberán visitar Configuración del sistema > Privacidad y seguridad para revisar la información de seguridad del software antes de permitir su ejecución».