MacOS 恶意软件 "Cthulu 窃取者 "正在掏空加密货币钱包--如何识别它？

好消息是主要开发者已被标记为拒付款项，恶意软件已被禁止进入至少一个市场。

对于 macOS 用户和加密货币持有者来说，安全研究人员发现了一种名为 "Cthulhu Stealer "的新型恶意软件即服务（MaaS），这是一个令人担忧的事态发展。

根据 Cado Security 最近的一份报告，这种恶意软件专门针对 macOS 系统，挑战了人们长期以来认为苹果操作系统对此类威胁免疫的看法。

虽然 macOS 在安全方面一直享有盛誉，但近年来针对苹果平台的恶意软件却有增无减。著名的例子包括 Silver Sparrow、KeRanger 和 Atomic Stealer。Cthulhu Stealer 是这一增长名单上的最新成员，表明 macOS 用户的网络安全状况正在发生变化。

Cado 报告称，Cthulhu Stealer 以苹果磁盘镜像 (DMG) 文件的形式发布，伪装成 CleanMyMac、侠盗猎车手 IV 或 Adobe GenP 等合法软件。该恶意软件用 GoLang 编写，设计用于 x86_64 和 ARM 架构。在此之前，最近有报道称另一款针对《使命召唤》玩家的盗取加密货币的恶意软件。

恶意软件执行后，会使用 osascript 提示用户输入系统密码和 MetaMask 凭据。然后，它会在"/Users/Shared/NW "中创建一个目录来存储窃取的信息。该恶意软件的主要功能是从各种来源提取凭证和加密货币钱包，包括浏览器 cookie、游戏账户和多个加密货币钱包。

Cthulhu Stealer 与 2023 年发现的另一款针对 macOS 的恶意软件 Atomic Stealer 有相似之处。这两个恶意软件都是用 Go 语言编写的，重点都是窃取加密货币钱包、浏览器凭证和钥匙串数据。功能上的相似性表明，Cthulhu Stealer 可能是 Atomic Stealer 的改进版。

该恶意软件由一个名为 "Cthulhu Team "的组织运营，他们使用 Telegram 进行通信。作为恶意软件即服务模式的一部分，他们以每月 500 美元的价格出租偷窃器，由联盟成员负责部署并收取一定比例的收益。

恶意软件即服务是网络犯罪领域的一种商业模式，即向客户（通常是其他犯罪分子）出售或出租恶意软件和相关服务。这样，没有高级技术技能的个人或团体就可以使用预制的恶意软件工具和基础设施进行网络攻击。MaaS 提供商通常提供客户支持、更新和定制选项，与合法软件服务类似。

然而，最近的事态发展表明该公司内部出现了问题。

根据 Cado 的报告，附属公司已对主要开发商（即 "Cthulhu "或 "Balaclavv"）提出投诉，指控他们扣留付款。研究人员指出，这已导致该开发者被至少一个恶意软件市场禁用。

编辑：Stacy Elliott

More News

• All
• CT
• Coindesk
• Decrypt
• DLNews