Các nhà nghiên cứu an ninh mạng tại Cado Security đã xác định được một loại phần mềm độc hại dưới dạng dịch vụ (MaaS) mới nhắm vào người dùng macOS và những người nắm giữ tiền điện tử.
Phần mềm độc hại macOS mới có tên “Cthulhu Stealer” lần đầu tiên được phát hiện vào cuối năm 2023 và đang được bán dưới dạng dịch vụ trên dark web với giá 500 đô la mỗi tháng.
Chức năng chính của phần mềm độc hại này là trích xuất thông tin nhạy cảm từ máy Mac bị nhiễm, chẳng hạn như cookie của trình duyệt, mật khẩu hệ thống, mật khẩu đã lưu từ iCloud Keychain, ví tiền điện tử từ nhiều cửa hàng khác nhau, bao gồm tài khoản trò chơi, thông tin trình duyệt web và thậm chí cả thông tin tài khoản Telegram Tdata.
Cthulhu Stealer là một hình ảnh đĩa Apple (DMG) được đóng gói với hai tệp nhị phân được thiết kế cho kiến trúc x86_64 và ARM. Nó được viết bằng GoLang và ngụy trang thành phần mềm hợp pháp, bắt chước các ứng dụng phổ biến như CleanMyMac, Grand Theft Auto VI và Adobe GenP, nhà nghiên cứu bảo mật Tara Gould của Cato đã viết trong một báo cáo gần đây của Cado Security.
Sau khi người dùng gắn tệp dmg, người dùng được yêu cầu mở phần mềm. Sau khi tệp osascript được mở, người dùng được nhắc nhập mật khẩu hệ thống của họ thông qua công cụ dòng lệnh của macOS, chạy AppleScript và JavaScript.
Sau khi nhập mật khẩu ban đầu, một lời nhắc thứ hai sẽ yêu cầu mật khẩu MetaMask của người dùng. Sau đó, nó sẽ tạo một thư mục trong '/Users/Shared/NW' để lưu trữ thông tin đăng nhập bị đánh cắp trong các tệp văn bản.
Phần mềm độc hại này cũng được thiết kế để dump mật khẩu iCloud Keychain trong Keychain.txt bằng một công cụ mã nguồn mở có tên là Chainbreak. Dữ liệu bị đánh cắp được nén và lưu trữ trong tệp lưu trữ ZIP, sau đó được chuyển đến máy chủ chỉ huy và kiểm soát (C2) do kẻ tấn công kiểm soát.
Khi phần mềm độc hại Cthulhu Stealer có quyền truy cập, nó sẽ tạo một thư mục trong '/Users/Shared/NW' với thông tin đăng nhập bị đánh cắp được lưu trữ trong các tệp văn bản. Sau đó, nó tiến hành lấy dấu vân tay hệ thống của nạn nhân, thu thập thông tin bao gồm địa chỉ IP, tên hệ thống, phiên bản hệ điều hành, thông tin phần cứng và phần mềm.
“Chức năng và tính năng của Cthulhu Stealer rất giống với Atomic Stealer, cho thấy nhà phát triển Cthulhu Stealer có thể đã lấy Atomic Stealer và sửa đổi mã. Việc sử dụng osascript để nhắc người dùng nhập mật khẩu của họ cũng tương tự trong Atomic Stealer và Cthulhu, thậm chí bao gồm cả lỗi chính tả giống nhau”, báo cáo cho biết thêm.
Tuy nhiên, các báo cáo chỉ ra rằng những kẻ đe dọa đứng sau Cthulhu Stealer có thể đã ngừng hoạt động, được cho là do tranh chấp thanh toán và cáo buộc là kẻ lừa đảo hoặc tham gia vào một vụ lừa đảo thoát. Điều này dẫn đến lệnh cấm vĩnh viễn khỏi thị trường nơi phần mềm độc hại được quảng bá.
Mặc dù macOS từ lâu đã được coi là một hệ thống an toàn, phần mềm độc hại nhắm vào người dùng Mac vẫn là mối lo ngại ngày càng tăng về bảo mật. Để bảo vệ khỏi các mối đe dọa mạng tiềm ẩn, người dùng được khuyên nên luôn tải xuống phần mềm từ các nguồn đáng tin cậy, bật các tính năng bảo mật tích hợp của macOS như Gatekeeper, cập nhật hệ thống và ứng dụng bằng các bản vá bảo mật mới nhất và cân nhắc sử dụng phần mềm diệt vi-rút có uy tín để cung cấp thêm một lớp bảo vệ.