Usuários de Mac da Apple estão sendo alertados sobre uma nova cepa de malware chamada “Cthulhu Stealer“, que pode roubar suas informações pessoais e ter como alvo carteiras de criptomoedas.
A empresa de segurança cibernética Cado Security, disse:
“Por anos, houve uma crença geral no Zeitgeist de que os sistemas macOS são imunes a malware. Embora o MacOS tenha a reputação de ser seguro, o malware macOS tem se tornado uma tendência nos últimos anos.”
“Cthulhu Stealer” aparece como uma imagem de disco da Apple (DMG) e se disfarça como software legítimo como CleanMyMac e Adobe GenP.
Quando os usuários abrem o arquivo, a ferramenta de linha de comando do macOS para executar AppleScript e JavaScript é usada para solicitar a senha.
Uma vez que isso é inserido, um segundo prompt aparecerá para a senha da popular carteira Ethereum, MetaMask. Ele também tem como alvo outras carteiras de criptomoedas populares, incluindo as da Coinbase, Wasabi, Electrum, Atomic, Binance e Blockchain Wallet.
O malware armazena os dados roubados em arquivos de texto antes de fazer a impressão digital do sistema da vítima para coletar dados como endereço IP e versão do sistema operacional.
A pesquisadora da Cado, Tara Gould, disse:
“A principal funcionalidade do Cthulhu Stealer é roubar credenciais e carteiras de criptomoedas de várias lojas, incluindo contas de jogos.”
O Cthulhu Stealer é muito semelhante ao Atomic Stealer, malware que foi identificado em 2023 visando computadores Apple.
“Isso indica que o desenvolvedor do Cthulhu Stealer provavelmente pegou o Atomic Stealer e modificou o código.”
O malware estava sendo alugado para afiliados por US$500 por mês usando a plataforma de mensagens Telegram, com o desenvolvedor principal compartilhando os lucros de implantações bem-sucedidas.
No entanto, os golpistas por trás do malware não estão mais ativos, após disputas sobre pagamentos que levaram a acusações de um golpe de saída por afiliados.
A Apple reconheceu recentemente a crescente ameaça de malware visando seus sistemas operacionais. Em agosto, a gigante da tecnologia anunciou uma atualização para sua versão macOS de próxima geração que torna um pouco mais difícil para os usuários anularem as proteções do Gatekeeper que garantem que apenas aplicativos confiáveis tenham permissão para rodar no sistema.
Em maio, o Telegram minimizou a gravidade de uma exploração que permitiu que pesquisadores obtivessem acesso aos sistemas de câmera do macOS, afirmando que tinha mais a ver com a segurança de permissão da Apple do que com a plataforma de mensagens.