Cthulhu Stealer
Los investigadores de ciberseguridad han identificado un nuevo malware que roba información y está diseñado específicamente para atacar los sistemas macOS de Apple, lo que pone de relieve una tendencia creciente en la que los actores de amenazas se centran más en este sistema operativo. El malware, denominado Cthulhu Stealer, se ofrece como parte de un paquete de malware como servicio (MaaS) desde finales de 2023, con un precio de 500 dólares al mes. Es capaz de atacar tanto las arquitecturas x86_64 como las Arm.
Cthulhu Stealer se distribuye como una imagen de disco de Apple (DMG) que contiene dos archivos binarios diseñados para diferentes arquitecturas. El malware, escrito en Golang, se hace pasar por software legítimo. Entre los programas de software que imita se encuentran CleanMyMac, Grand Theft Auto IV y Adobe GenP, este último una herramienta de código abierto que se utiliza para eludir el proceso de activación de Adobe Creative Cloud.
Tabla de contenido
El ladrón de Cthulhu recopila datos y credenciales confidenciales
A los usuarios que optan por ejecutar el archivo sin firmar (después de eludir manualmente las protecciones de Gatekeeper) se les solicita que ingresen su contraseña del sistema. Esta técnica, basada en un script, también ha sido utilizada por otros programas maliciosos como Atomic Stealer, Cuckoo , MacStealer y Banshee Stealer .
A continuación, se solicita a los usuarios que introduzcan su contraseña de MetaMask. El Cthulhu Stealer también está equipado para recopilar información del sistema y extraer contraseñas de iCloud Keychain mediante una herramienta de código abierto llamada Chainbreaker.
Los datos recopilados, que incluyen cookies del navegador web e información de la cuenta de Telegram, luego se comprimen en un archivo ZIP y se envían a un servidor de comando y control (C2) para su exfiltración.
Un análisis de las capacidades del ladrón de Cthulhu
La función principal de Cthulhu Stealer es recolectar credenciales y billeteras de criptomonedas de varias fuentes, incluidas las cuentas de juegos. Sus características se parecen mucho a las de Atomic Stealer, lo que sugiere que el desarrollador de Cthulhu Stealer puede haber modificado el código de Atomic Stealer. Ambos usan osascript para solicitar a los usuarios sus contraseñas, e incluso comparten los mismos errores ortográficos.
Según se informa, el grupo detrás de este malware ya no está activo, en parte debido a disputas sobre pagos, lo que llevó a que los afiliados acusaran a la empresa de ser una estafa de salida. Esto dio como resultado que el desarrollador principal fuera expulsado permanentemente del mercado de delitos cibernéticos donde se anunciaba el ladrón.
El Cthulhu Stealer no es especialmente sofisticado, ya que carece de técnicas avanzadas de antianálisis que le permitan operar de forma sigilosa. Además, no tiene ninguna capacidad distintiva que lo diferencie de otras herramientas similares en el mercado clandestino.
Apple está implementando medidas adicionales para prevenir el malware
Aunque macOS enfrenta menos amenazas en comparación con Windows y Linux, los usuarios deben ser cautelosos. Es fundamental descargar software solo de fuentes confiables, evitar instalar aplicaciones no verificadas y mantener los sistemas actualizados con los últimos parches de seguridad.
Apple ha reconocido el aumento del malware en macOS y, a principios de este mes, anunció una actualización para su próxima versión del sistema operativo, Sequoia. Esta actualización introduce medidas más estrictas para abrir software que no esté debidamente firmado o certificado.
En macOS Sequoia, los usuarios ya no podrán hacer clic con la tecla Control presionada para omitir Gatekeeper en el caso de software no verificado. En su lugar, deberán navegar a Configuración del sistema > Privacidad y seguridad para revisar y aprobar la información de seguridad de dichas aplicaciones antes de ejecutarlas.
