По мере того, как оценка цифровых активов продолжает расти, криптовалютная область сталкивается с многочисленными угрозами и уязвимостями, связанными с безопасностью.
Недавним событием в этой области стало появление “Cthulhu Stealer”, который представляет собой особенно продвинутую итерацию вредоносного ПО как услуги (MaaS), успешно проникшего в системы macOS.
Как уже сообщала компания Cado Security, Cthulhu Stealer специально разработан для взлома платформ macOS с целью утечки критически важных данных, связанных с криптовалютами.
Cthulhu Stealer не врывается в дом; он прокрадывается под видом законного программного обеспечения. Он маскируется под такие популярные приложения, как CleanMyMac или Adobe GenP. Он даже может появиться под видом якобы раннего выпуска “Grand Theft Auto VI”.
Пользователей заманивают на монтирование вредоносного DMG-файла. После его открытия вредоносная программа запрашивает системный пароль и пароль MetaMask, инициируя серию вредоносных действий.
Вредоносная программа использует собственный инструмент macOS osascript для перехвата паролей, хранящихся в системной связке ключей. Сюда входят конфиденциальные данные от криптовалютных кошельков, таких как MetaMask, Coinbase и Binance.
Похищенные учетные данные затем упаковываются в zip-файл, который упорядочивается по стране жертвы и времени атаки, что позволяет злоумышленникам более эффективно направлять свои усилия.
Сфера действия Cthulhu Stealer простирается далеко за пределы только криптовалютных кошельков. Он захватывает:
- Криптовалютные кошельки: Wasabi, Daedalus, Electrum, Atomic, Harmony, Enjin, Hoo, Dapper, Coinomi, Trust, Blockchain, XDeFi
- Расширения для браузеров: Кошельки расширений Chrome
- Игровые аккаунты: Minecraft, Battlenet
- Разные данные: Куки Firefox, Tdata Telegram
Кроме того, он собирает подробную информацию о системе, включая IP-адреса и версии ОС. Эти данные отправляются на командно-контрольный (C2) сервер, позволяя злоумышленникам совершенствовать свою тактику и расширять сферу влияния.
Как Cthulhu Stealer крадет информацию из Вашего кошелька
Вот где становится тревожно: Cthulhu Stealer – это не просто инструмент, это бизнес. Мошенники сдают эту вредоносную программу в аренду за 500 долларов в месяц. Команда Cthulhu Team, как называют разработчиков, получает прибыль, сдавая вредоносную программу в аренду филиалам, которые затем развертывают ее и получают часть платы за аренду.
Вредоносная программа продается на различных рынках вредоносного ПО и управляется через Telegram, что делает ее легкодоступной для тех, у кого есть злые намерения.
Защитите себя от Cthulhu Stealer
В свете этой новой угрозы вот как Вы можете защитить себя:
- Установите антивирусное программное обеспечение: Убедитесь, что Ваш антивирус обновлен и специально разработан для macOS.
- Опасайтесь непроверенных загрузок: Избегайте загрузки программ из неизвестных источников, особенно если они связаны со срочными или подозрительными предложениями работы.
- Регулярно обновляйте программное обеспечение: Постоянно обновляйте macOS и приложения, чтобы защититься от потенциальных уязвимостей.
Cthulhu Stealer очень похож на Atomic Stealer, вредоносную программу, обнаруженную в 2023 году, что позволяет предположить, что его создатель мог адаптировать тот же код с некоторыми изменениями. Эта вредоносная программа сдается в аренду за $500 в месяц через Telegram, а заработок делится между ее филиалами.
Недавно компания Apple признала растущую угрозу вредоносного ПО, поражающего ее операционные системы. 6 августа компания объявила об обновлении для следующей версии macOS, которое ужесточает защиту Gatekeeper, затрудняя пользователям обход мер безопасности и гарантируя, что только доверенные приложения могут работать на их системах.
Еще в мае Telegram преуменьшил опасения по поводу эксплойта, который позволил исследователям получить доступ к системам камер macOS, предположив, что проблема скорее связана с настройками разрешений Apple, чем с недостатками в самом приложении для обмена сообщениями.
