Pesquisadores da Cado Security descobriram mais um malware projetado para roubar informações de usuários do macOS. Trata-se do Cthulhu Stealer, o qual provavelmente é outra variante do Atomic macOS Stealer (AMOS), descoberto no ano passado e já replicado diversas vezes.
Sendo vendido por cerca de US$500 mensais desde o final do ano passado, o novo malware atinge tanto Macs com arquitetura ARM (Apple Silicon) quanto x86 (Intel). Ele é escrito em GoLang e, a exemplo de outros softwares do gênero, se disfarça como um app ou recurso legítimo em formato DMG para enganar os usuários.
Entre os softwares utilizados como disfarce, estão o popular app de gerenciamento CleanMyMac X, um suposto acesso antecipado ao game Grand Theft Auto VI (ainda não lançado) e o Adobe GenP (utilizado por usuários para ativar clandestinamente aplicativos da Adobe com um número de série falso).
Depois que o usuário monta o DMG, ele é solicitado a abrir o software. Após abrir o arquivo (
osascript), a ferramenta de linha de comando do macOS para executar AppleScript e JavaScript é usada para solicitar ao usuário sua senha.
Ao inserir a senha, o usuário abre as portas para a ação do malware efetivamente. Com criações de novos diretórios e arquivos, ele passa a roubar informações do sistema, as Chaves do iCloud, credenciais de navegadores e, principalmente, de carteiras de criptomoedas de diversas lojas.
De acordo com a Cado, esse modus operandi é bastante semelhante ao do Atomic Stealer — o que indica que o desenvolvedor do Cthulhu Stealer apenas modificou o código do malware original. Ele usa o mesmo script para solicitar a senha dos usuários, inclusive mantendo os erros de ortografia originais.
Como sempre, cabe a velha e boa dica: evite instalar softwares de fontes desconhecidas e não verificadas, dando sempre preferência às versões disponíveis na Mac App Store (caso existam). Não clicar em qualquer link que encontrar na internet também é essencial para uma boa segurança digital.
via Hacker News, AppleInsider
