Эксперты: новое вредоносное ПО Cthulhu крадет ключи от криптокошельков в MacOS
- Аналитики Cado Security предупредили пользователей MacOS о новом вредоносном программном обеспечении.
- ПО, известное под названием Cthulu Stealer, крадет ключи от криптокошельков и распространяется в рамках модели Malware-as-a-Service.
- Создатели вируса сдают в аренду свою разработку через Telegram-группу за $500 в месяц.
Аналитики компании Cado Security выявили новое вредоносное программное обеспечение, которое представляет угрозу для пользователей операционной системы MacOS. Вирус нацелен на кражу личных данных и ключей от криптокошельков.
Программа известна как Cthulhu Stealer. ПО распространяется в качестве образа диска Apple (DMG) и при попадании в компьютерную систему маскируется под легальное ПО — CleanMyMac, Grand Theft Auto IV или Adobe GenP.
После активации программы она выполняет команду osascript, запрашивая у пользователя системный пароль и учетные данные кошелька. Параллельно Cthulhu Stealer создает каталог ‘/Users/Shared/NW’ для хранения полученной информации.
Главная задача вредоносного ПО — кража личных данных из различных источников. К ним относятся игровые аккаунты, браузер, криптовалютные кошельки и другие места хранения информации.
Аналитики отмечают схожесть Cthulhu Stealer с еще одним хакерским программным обеспечением. Речь идет об Atomic Stealer, который аналогичным образом похищал данные через MacOS, и был выявлен экспертами в 2023 году. Специалисты считают, что новое ПО — это, вероятно, модифицированная версия предыдущей вредоносной программы.
Создатели Cthulhu Stealer используют особую схему распространения своей разработки. Для этого они создали Telegram-группу, в которой предлагают взять вирус в аренду за $500 в месяц. Такая схема называется Malware-as-a-Service (MaaS).
Помимо средств за «подписку» на вредоносное ПО, хакеры получают процент от краж. Они также обеспечивают развертывание программного обеспечения и оказывают техническую поддержку своих клиентов.
Отметим, что создатели Cthulhu Stealer, по информации экспертов, недавно столкнулись с трудностями. Некоторые партнеры главного разработчика вируса, известного по прозвищу Balaclavv, пожаловались на задержку по платежам. В итоге программное обеспечение от этого хакера заблокировали как минимум на одной из площадок по продаже вредоносного ПО, утверждают в Cado Security.
Напомним, мы писали, что злоумышленники использовали расширение Chrome для атак на пользователей Solana.
