Новое вредоносное ПО под macOS затрагивает ряд популярных криптокошельков
0
В сфере киберпреступности появилась новая угроза, нацеленная на пользователей macOS и их криптовалютные активы. Получившая название "Cthulhu Stealer", это вредоносное ПО как услуга (MaaS) использует растущую популярность криптовалют для кражи средств из цифровых кошельков.
Новая вредоносная программа умело маскируется под обычные приложения, обманом заставляя пользователей предоставить доступ к своим системам, который затем используется для извлечения конфиденциальных данных.
Работа программы начинается с того, что пользователь без подозрений устанавливает вредоносный DMG-файл, маскирующийся под популярные программы вроде CleanMyMac или даже раннюю версию Grand Theft Auto VI. После установки вредоносная программа предлагает пользователю ввести системный пароль и пароль от кошелька. Используя инструмент osascript для MacOS, он собирает эти учетные данные из системной связки ключей (Keychain), которые затем компилируются вместе с другими конфиденциальными данными, включая информацию из различных криптовалютных кошельков, куки браузера и системные данные.
Глубокий технический анализ, проведенный Cado Security, подчеркивает постоянную уязвимость даже систем macOS, которые традиционно считаются более защищенными, чем их аналоги под Windows.
Cthulhu Stealer не ограничивается известными криптовалютами. Его целью является широкий спектр платформ и данных, включая:
- - Кошельки расширений Chrome
- - Пользовательские данные Minecraft
- - Кошелек Wasabi
- - Пароли Keychain
- - Пароли SafeStorage
- - Данные игр, кэш и журналы Battlenet
- - Куки Firefox
- - Кошелек Daedalus
- - Кошелек Electrum
- - Кошелек Atomic
- - Кошелек Harmony
- - Кошелек Electrum
- - Кошелек Enjin
- - Кошелек Hoo
- - Кошелек Dapper
- - Кошелек Coinomi
- - Кошелек Trust
- - Кошелек Blockchain
- - Кошелек XDeFi
- - Куки браузера
- - Информацию учетной записи Telegram
Собранная информация, упакованная в zip-архив с кодом страны пользователя и временем атаки, затем используется для дальнейшей эксплуатации.
Мошенники, использующие это вредоносное ПО, берут за его использование 500 долларов в месяц, продвигая его через Telegram и различные рынки вредоносного ПО. Они используют обманные тактики, например, представляются работодателями, предлагая поддельные вакансии, для которых требуется загрузить программу для отслеживания рабочего времени, чтобы заманить жертву на установку такой программы.
Чтобы снизить риск заражения, пользователям рекомендуется установить надежное антивирусное программное обеспечение, предназначенное для macOS, и проявлять осторожность при загрузке программ, особенно из незнакомых источников или в экстренных обстоятельствах.