Voleur de Cthulhu
Des chercheurs en cybersécurité ont identifié un nouveau malware de vol d'informations spécialement conçu pour cibler les systèmes macOS d'Apple, soulignant une tendance croissante selon laquelle les acteurs malveillants se concentrent davantage sur ce système d'exploitation. Baptisé Cthulhu Stealer, le malware est proposé dans le cadre d'un package Malware-as-a-Service (MaaS) depuis fin 2023, au prix de 500 dollars par mois. Il est capable d'attaquer à la fois les architectures x86_64 et Arm.
Le Cthulhu Stealer est distribué sous la forme d'une image disque Apple (DMG) contenant deux binaires adaptés à différentes architectures. Écrit en Golang, le malware se fait passer pour un logiciel légitime. Parmi les logiciels qu'il imite figurent CleanMyMac, Grand Theft Auto IV et Adobe GenP, ce dernier étant un outil open source utilisé pour contourner le processus d'activation d'Adobe Creative Cloud.
Table des matières
Le voleur de Cthulhu collecte des données et des informations d’identification sensibles
Les utilisateurs qui choisissent de lancer le fichier non signé, après avoir contourné manuellement les protections de Gatekeeper, sont invités à saisir leur mot de passe système. Cette technique, basée sur un script, a également été utilisée par d'autres malwares comme Atomic Stealer, Cuckoo , MacStealer et Banshee Stealer .
Ensuite, les utilisateurs sont invités à saisir leur mot de passe MetaMask. Le Cthulhu Stealer est également équipé pour collecter des informations système et extraire les mots de passe du trousseau iCloud à l'aide d'un outil open source appelé Chainbreaker.
Les données collectées, qui incluent les cookies du navigateur Web et les informations de compte Telegram, sont ensuite compressées dans une archive ZIP et envoyées à un serveur de commande et de contrôle (C2) pour exfiltration.
Une analyse des capacités du voleur de Cthulhu
La fonction principale de Cthulhu Stealer est de collecter des identifiants et des portefeuilles de cryptomonnaies à partir de diverses sources, y compris des comptes de jeu. Ses fonctionnalités ressemblent beaucoup à celles d'Atomic Stealer, ce qui suggère que le développeur de Cthulhu Stealer a peut-être modifié le code d'Atomic Stealer. Les deux utilisent osascript pour demander aux utilisateurs leurs mots de passe, partageant même les mêmes fautes d'orthographe.
Le groupe à l'origine de ce malware ne serait plus actif, en partie à cause de litiges concernant des paiements, ce qui a conduit à des accusations d'escroquerie à la sortie par des affiliés. Cela a eu pour conséquence que le développeur principal a été banni définitivement du marché de la cybercriminalité où le voleur était annoncé.
Le Cthulhu Stealer n'est pas particulièrement sophistiqué, il ne dispose pas de techniques avancées d'anti-analyse qui lui permettraient d'opérer de manière furtive. De plus, il ne possède aucune capacité distinctive qui le distingue des autres outils similaires sur le marché souterrain.
Apple met en œuvre des mesures supplémentaires pour prévenir les logiciels malveillants
Bien que macOS soit moins menacé que Windows et Linux, les utilisateurs doivent néanmoins rester prudents. Il est essentiel de télécharger des logiciels uniquement à partir de sources fiables, d'éviter d'installer des applications non vérifiées et de maintenir les systèmes à jour avec les derniers correctifs de sécurité.
Apple a reconnu l'augmentation des malwares sur macOS et a annoncé, plus tôt ce mois-ci, une mise à jour pour la prochaine version de son système d'exploitation, Sequoia. Cette mise à jour introduit des mesures plus strictes pour l'ouverture de logiciels qui ne sont pas correctement signés ou notariés.
Sous macOS Sequoia, les utilisateurs ne pourront plus cliquer en maintenant la touche Contrôle enfoncée pour contourner Gatekeeper pour les logiciels non vérifiés. Ils devront désormais accéder à Paramètres système > Confidentialité et sécurité pour examiner et approuver les informations de sécurité de ces applications avant de les exécuter.
