Пользователей Apple Mac предупреждают о новом штамме вредоносного ПО под названием «Cthulhu Stealer», которое может украсть их личную информацию и атаковать криптокошельки.
«Cthulhu Stealer» выглядит как образ диска Apple (DMG) и маскируется под законное программное обеспечение, такое как CleanMyMac и Adobe GenP.
Когда пользователи открывают файл, инструмент командной строки macOS для запуска AppleScript и JavaScript запрашивает у них пароль.
После этого появится второй запрос пароля для популярного кошелька Ethereum MetaMask. Он также нацелен на другие популярные криптокошельки, в том числе Coinbase, Wasabi, Electrum, Atomic, Binance и Blockchain Wallet.
Вредоносное ПО сохраняет украденные данные в текстовых файлах, а затем снимает отпечатки пальцев с системы жертвы для сбора таких данных, как IP-адрес и версия операционной системы.
Cthulhu Stealer очень похож на Atomic Stealer, вредоносное ПО, которое было обнаружено в 2023 году и нацелено на компьютеры Apple. Это указывает на то, что разработчик Cthulhu Stealer «вероятно, взял Atomic Stealer и изменил код», добавила Гулд.
Вредоносное ПО сдавалось в аренду партнёрам за $500 в месяц через мессенджер Telegram, при этом главный разработчик делил прибыль от успешных развёртываний.
Однако сообщается, что мошенники, стоящие за этим вредоносным ПО, больше не активны после споров по поводу выплат, что привело к обвинениям в мошенничестве со стороны партнёров.
Недавно Apple признала возрастающую угрозу вредоносного ПО, нацеленного на её операционные системы. 6 августа технологический гигант объявил об обновлении следующей версии macOS, которое усложнит пользователям обход защитных механизмов Gatekeeper, гарантируя, что на системе будут запускаться только проверенные приложения.
В мае же Telegram минимизировал серьёзность уязвимости, позволявшей исследователям получить доступ к камерам на macOS, заявив, что это больше связано с системой разрешений Apple, чем с самим мессенджером.