Cthulhu-Dieb
Cybersicherheitsforscher haben eine neue Malware entdeckt, die Informationen stiehlt und speziell auf Apple macOS-Systeme abzielt. Dies unterstreicht einen wachsenden Trend, bei dem sich Bedrohungsakteure mehr auf dieses Betriebssystem konzentrieren. Die Malware mit dem Namen Cthulhu Stealer wird seit Ende 2023 als Teil eines Malware-as-a-Service-Pakets (MaaS) angeboten und kostet 500 US-Dollar pro Monat. Sie kann sowohl x86_64- als auch Arm-Architekturen angreifen.
Der Cthulhu Stealer wird als Apple-Disk-Image (DMG) verteilt, das zwei Binärdateien enthält, die auf unterschiedliche Architekturen zugeschnitten sind. Die in Golang geschriebene Malware tarnt sich als legitime Software. Zu den von ihr imitierten Softwareprogrammen zählen CleanMyMac, Grand Theft Auto IV und Adobe GenP. Letzteres ist ein Open-Source-Tool, mit dem der Aktivierungsprozess von Adobe Creative Cloud umgangen werden kann.
Inhaltsverzeichnis
Der Cthulhu-Stealer sammelt vertrauliche Daten und Anmeldeinformationen
Benutzer, die die unsignierte Datei starten, nachdem sie den Gatekeeper-Schutz manuell umgangen haben, werden aufgefordert, ihr Systemkennwort einzugeben. Diese auf einem Skript basierende Technik wurde auch von anderer Malware wie Atomic Stealer, Cuckoo , MacStealer und Banshee Stealer verwendet.
Anschließend werden Benutzer aufgefordert, ihr MetaMask-Passwort einzugeben. Der Cthulhu Stealer ist außerdem in der Lage, Systeminformationen zu sammeln und iCloud-Schlüsselbund-Passwörter mithilfe eines Open-Source-Tools namens Chainbreaker zu extrahieren.
Die gesammelten Daten, darunter Webbrowser-Cookies und Telegram-Kontoinformationen, werden dann in ein ZIP-Archiv komprimiert und zur Exfiltration an einen Command-and-Control-Server (C2) gesendet.
Eine Analyse der Fähigkeiten des Cthulhu-Diebs
Die Hauptfunktion des Cthulhu Stealer besteht darin, Anmeldeinformationen und Kryptowährungs-Wallets aus verschiedenen Quellen, einschließlich Spielkonten, zu sammeln. Seine Funktionen ähneln stark denen des Atomic Stealer, was darauf hindeutet, dass der Entwickler des Cthulhu Stealer den Code des Atomic Stealer geändert haben könnte. Beide verwenden Osascript, um Benutzer zur Eingabe ihrer Passwörter aufzufordern, und weisen sogar dieselben Rechtschreibfehler auf.
Die Gruppe hinter dieser Malware ist Berichten zufolge nicht mehr aktiv, was teilweise auf Streitigkeiten über Zahlungen zurückzuführen ist, die zu Vorwürfen eines Exit-Scams durch Partner führten. Dies führte dazu, dass der Hauptentwickler dauerhaft vom Cybercrime-Marktplatz verbannt wurde, auf dem der Stealer beworben wurde.
Der Cthulhu Stealer ist nicht besonders ausgefeilt, da ihm fortgeschrittene Anti-Analyse-Techniken fehlen, die ihm einen verdeckten Betrieb ermöglichen würden. Darüber hinaus verfügt er über keine besonderen Fähigkeiten, die ihn von anderen ähnlichen Tools auf dem Untergrundmarkt unterscheiden.
Apple ergreift zusätzliche Maßnahmen zur Malware-Prävention
Obwohl macOS im Vergleich zu Windows und Linux weniger Bedrohungen ausgesetzt ist, sollten Benutzer dennoch vorsichtig sein. Es ist wichtig, Software nur aus seriösen Quellen herunterzuladen, die Installation nicht verifizierter Anwendungen zu vermeiden und Systeme mit den neuesten Sicherheitspatches auf dem neuesten Stand zu halten.
Apple hat den Anstieg von macOS-Malware erkannt und Anfang des Monats ein Update für die kommende Betriebssystemversion Sequoia angekündigt. Dieses Update führt strengere Maßnahmen zum Öffnen von Software ein, die nicht ordnungsgemäß signiert oder notariell beglaubigt ist.
In macOS Sequoia können Benutzer Gatekeeper für nicht verifizierte Software nicht mehr mit gedrückter Strg-Taste umgehen. Stattdessen müssen sie zu Systemeinstellungen > Datenschutz und Sicherheit navigieren, um die Sicherheitsinformationen für solche Anwendungen zu überprüfen und zu genehmigen, bevor sie diese ausführen.
