IT之家 8 月 23 日消息,尽管 MacOS 以安全著称,但近年来已经出现了多种针对该操作系统的恶意软件,例如 Silver Sparrow、KeRanger 和 Atomic Stealer 等。
Cado Security 网络安全研究人员现公布了一种新的 macOS 恶意软件,名为 Cthulhu Stealer,它能够同时针对 x86_64 和 Arm 架构的 MacOS 机型。
▲安装时的截图,图源:Cado Security该软件基于 GoLang 编写,它会伪装成合法软件,例如垃圾清理工具“CleanMyMac”或者《侠盗猎车手 IV》,也有部分会伪装成 Adobe GenP(Adobe 破解工具)。待用户安装 dmg 后,它就会**用户打开。当用户打开该文件后,它就会借助 macOS 命令行工具 osascript **用户输入密码。▲密码**当用户输入密码后,它紧接着又会要求用户输入 MetaMask 密码。此外,Cthulhu Stealer 还会使用名为 Chainbreaker 的开源工具来收集系统信息并转储 iCloud Keychain 密码。相比于这些密码,Cthulhu Stealer 最主要的目的还是从各种商店中窃取登录凭证,包括加密货币钱包、游戏账户等敏感信息。它会在“/Users/ Shared / NW”中创建一个目录,将其凭据存储在文本文件中;包含被盗数据的 zip 压缩文件则存在于:/Users/ Shared / NW/[CountryCode] Cthulhu_Mac_OS_[date]_[time].zip。▲MetaMask 的密码**此外,它还会向 C2 发送通知,以提醒其有新的日志。该恶意软件会对受害者的系统进行信息搜索、收集,例如 IP 地址(详细信息会从 ipinfo.io 获取)、系统信息(包括系统名称、操作系统版本、硬件和软件信息)等等。据IT之家所知,目前 Cthulhu Stealer 已确定会收集的信息包括:浏览器 CookieCoinbase 钱包Chrome 扩展钱包Telegram Tdata 账户信息《我的世界》用户信息Wasabi 钱包MetaMask 钱包Keychain密码SafeStorage 密码战网平台游戏、缓存和日志数据Firefox 的 CookieDaedalus 钱包Electrum 钱包Atomic钱包Binanace 钱包Harmony 钱包Electrum 钱包Enjin 钱包Hoo 钱包Dapper 钱包Coinomi 钱包Trust 钱包Blockchain钱包XDeFI 钱包对于此类软件,苹果本月早些时候宣布将为 macOS 提供更新,在用户尝试打开未签名或未经认证的软件时进行阻拦。苹果表示:“在 macOS Sequoia 中,用户将无法在打开未正确签名或未经公证的软件时按住 Control 键来覆盖 Gatekeeper。”“他们需要访问系统设置 > 隐私和安全,在允许软件运行之前查看软件的安全信息。”