Cado Security

MacOS平台向来被认为比较少恶意软件，但现今已渐渐吸引黑客注意力。资安业者Cado Security发现一款恶意程序Cthulhu Stealer，专门锁定macOS电脑用户窃取密码、cookies或其他敏感信息。

Cthulhu Stealer（或简称Cthulhu）为一恶意程序即服务（malware-as-a-service，MaaS），是由一个代号Cthulhu或Balaclavv的用户在Telegram频道及二个暗网交易市集兜售，以每月500美元提供服务，由其开发人员和同伙向macOS用户发动攻击。Cthulhu是2023年底现身，并在今年头几个月内开始活动。

Cthulhu本身是一种Apple磁盘映像档（DMG档），视架构而定，可附加于2种二进位档。它以GoLang写成，可伪装成合法软件。研究人员发现它曾经冒充过合法软件如硬盘清理工具CleanMyMac、游戏软件Grand Theft Auto IV以及Adobe GenP，诱使用户下载。

一旦用户下载安装.dmg档，它会要求用户打开文件，并启动macOS的指令行工具osascript就会接连要求用户输入它想窃取的敏感信息，包括cookies、帐号或电子钱包密码。研究人员归纳Cthulhu的窃取目标包含Chrome与Firefox浏览器cookies、Telegram密码、Apple Keychain、SafeStorage、Minecraft帐号以及十多种电子钱包应用如Chrome Extension Wallet、MetaMask、XDeFI、Coinbase或Blockchain Wallet等等。

研究人员并公布了Cthulhu的Yara侦测规则，以及该恶意程序安装时会在用户电脑/Users/Shared/NW路径下创建文件夹。

Cthulhu是资安专家发现最新一只攻击Mac电脑用户的窃密程序。从早期的KeRanger和Silver Sparrow开始逐渐增多。今年资安业者SentinelOne发现窃资软件KeySteal、Atomic Stealer、CherryPie，都能绕过macOS操作系统的防护机制XProtect窃取用户敏感数据。