名为“Cthulhu Stealer”的新恶意软件针对macOS,伪装成合法应用程序,从MetaMask和其他钱包中窃取加密货币。
一种名为“Cthulhu Stealer”的新型恶意软件即将针对macOS用户,特别关注从MetaMask和Binance等钱包中窃取加密货币。该恶意软件伪装成合法应用程序,诱使用户输入密码,然后利用这些密码访问系统的钥匙串并窃取敏感数据。Cthulhu Stealer的租金为每月500美元,并通过Telegram进行推广,通常使用虚假的工作机会来诱骗毫无防备的受害者。Cado Security的这一发现挑战了普遍认为macOS系统免受恶意软件攻击的观念,突显出没有任何平台是完全安全的。
Cthulhu Stealer通过伪装成知名软件,如CleanMyMac、Adobe GenP,甚至是“侠盗猎车手VI”的假早期版本来运作。一旦用户下载并挂载恶意DMG文件,他们会被提示输入系统和MetaMask密码。该恶意软件随后使用名为osascript的macOS工具从系统的钥匙串中提取这些密码。被盗的数据包括来自MetaMask、Coinbase和Binance等各种加密钱包的信息,汇编成一个zip压缩文件。该压缩文件以用户的国家代码和攻击时间命名,包含所有捕获的敏感信息。
除了加密钱包,Cthulhu Stealer还针对一系列其他平台和应用程序,包括Chrome扩展钱包、Minecraft用户数据、Wasabi钱包、钥匙串密码、安全存储密码、Battlenet游戏数据、Firefox cookies以及其他各种加密钱包,如Electrum、Atomic、Harmony等。它还针对浏览器cookies和Telegram Tdata账户信息。该恶意软件进一步收集详细的系统信息,如IP地址、系统名称和操作系统版本,并将其发送到指挥与控制(C2)服务器。这使攻击者能够优化他们的策略,以进行更具针对性的攻击。
Cthulhu Stealer背后的诈骗者采用各种策略来欺骗用户下载恶意软件。例如,他们可能在社交媒体上假装成雇主,提供需要下载软件来跟踪工作时间的工作。这些工作机会通常以紧迫感呈现,促使潜在受害者迅速下载该应用程序。Cthulhu团队,包括该恶意软件的开发者和合作伙伴,通过Telegram管理他们的操作。
根据Cado Security的说法,Cthulhu Stealer的租金为每月500美元,主要开发者根据合作伙伴在部署恶意软件方面的成功与他们分享利润。合作伙伴负责将恶意软件传播给受害者。Cado还发现该恶意软件在两个知名市场上出售,这些市场通常被网络犯罪分子用于沟通和广告。
为了保护自己免受这一威胁,macOS用户被建议安装专为其操作系统设计的信誉良好的防病毒软件。用户还应对需要立即下载软件的工作机会保持警惕,因为这些可能是欺诈,以诱使他们安装恶意软件。保持软件更新是降低感染风险的另一个关键步骤,因为更新通常包括修补安全漏洞的安全补丁,这些漏洞被像Cthulhu Stealer这样的恶意软件利用。
总之,Cthulhu Stealer强烈提醒我们,没有系统是完全安全的。通过欺骗手段针对macOS用户,这种恶意软件有可能造成重大损害,特别是通过窃取加密钱包和其他应用程序中的敏感数据。随着网络威胁的不断演变,用户必须保持警惕,并采取主动措施保护他们的数字资产。