Эксперты по кибербезопасности из Cado Security выявили новую вредоносную программу, которая крадет информацию с устройств под управлением macOS от Apple.
Эта вредоносная программа называется Cthulhu Stealer и способна похищать различные данные: системную информацию, пароли от iCloud Keychain (используя открытый инструмент под названием Chainbreaker), другие учетные данные, куки веб-браузеров и информацию о учетной записи Telegram.
Кроме того, программа запрашивает у жертв ввод пароля системы, а также данные для входа в популярный криптовалютный кошелек MetaMask.
Копия Atomic Stealer
«Основная функция Cthulhu Stealer – кража учетных данных и криптовалютных кошельков из различных хранилищ, включая игровые учетные записи», – говорится в отчете исследователей из Cado Security.
«Функции и особенности Cthulhu Stealer очень похожи на Atomic Stealer, что указывает на то, что разработчик Cthulhu Stealer, вероятно, взял Atomic Stealer и изменил его код. Использование osascript для запроса пароля у пользователя также похоже на Atomic Stealer, включая те же орфографические ошибки.»
Исследователи добавляют, что жертвы часто загружают вредоносное ПО, считая его легитимным программным обеспечением или играми, такими как CleanMyMac, Grand Theft Auto IV и Adobe GenP (инструмент с открытым исходным кодом, позволяющий обходить службы Creative Cloud и активировать программное обеспечение без серийного ключа).
Для работы вредоносной программы жертвы должны дать явное согласие (так как программы-крадители данных должны преодолеть защиту Gatekeeper). Однако, ожидая загрузки легитимного программного обеспечения, большинство жертв, вероятно, дают такое согласие.
Как только Cthulhu, который, по всей видимости, стоит $500 в месяц и работает на архитектуре x86_64 и Arm, собирает всю интересующую информацию, она упаковывается в архив .ZIP и передается на командный сервер (C2), используя неизвестные методы.
Хорошая новость заключается в том, что это вредоносное ПО не слишком сложное и, вероятно, будет обнаружено большинством современных антивирусных программ.
Источник: TechRadar
