Cado Security

MacOS平臺向來被認為比較少惡意軟體，但現今已漸漸吸引駭客注意力。資安業者Cado Security發現一款惡意程式Cthulhu Stealer，專門鎖定macOS電腦用戶竊取密碼、cookies或其他敏感資訊。

Cthulhu Stealer（或簡稱Cthulhu）為一惡意程式即服務（malware-as-a-service，MaaS），是由一個代號Cthulhu或Balaclavv的用戶在Telegram頻道及二個暗網交易市集兜售，以每月500美元提供服務，由其開發人員和同夥向macOS用戶發動攻擊。Cthulhu是2023年底現身，並在今年頭幾個月內開始活動。

Cthulhu本身是一種Apple磁碟映像檔（DMG檔），視架構而定，可附加於2種二進位檔。它以GoLang寫成，可偽裝成合法軟體。研究人員發現它曾經冒充過合法軟體如硬碟清理工具CleanMyMac、遊戲軟體Grand Theft Auto IV以及Adobe GenP，誘使用戶下載。

一旦用戶下載安裝.dmg檔，它會要求用戶開啟檔案，並啟動macOS的指令行工具osascript就會接連要求用戶輸入它想竊取的敏感資訊，包括cookies、帳號或電子錢包密碼。研究人員歸納Cthulhu的竊取目標包含Chrome與Firefox瀏覽器cookies、Telegram密碼、Apple Keychain、SafeStorage、Minecraft帳號以及十多種電子錢包應用如Chrome Extension Wallet、MetaMask、XDeFI、Coinbase或Blockchain Wallet等等。

研究人員並公布了Cthulhu的Yara偵測規則，以及該惡意程式安裝時會在用戶電腦/Users/Shared/NW路徑下建立資料夾。

Cthulhu是資安專家發現最新一隻攻擊Mac電腦用戶的竊密程式。從早期的KeRanger和Silver Sparrow開始逐漸增多。今年資安業者SentinelOne發現竊資軟體KeySteal、Atomic Stealer、CherryPie，都能繞過macOS作業系統的防護機制XProtect竊取用戶敏感資料。