Em um desenvolvimento preocupante para usuários de macOS e detentores de criptomoedas, pesquisadores de segurança identificaram um novo malware como serviço (MaaS) chamado “Cthulhu Stealer”.
De acordo com um relatório recente da Cado Security, esse malware especificamente ataca sistemas macOS, desafiando a crença de longa data de que o sistema operacional da Apple é imune a tais ameaças.
Embora o macOS tenha mantido uma reputação de segurança, os últimos anos têm visto um aumento no número de malwares que visam o sistema da Apple. Exemplos notáveis incluem Silver Sparrow, KeRanger e Atomic Stealer. O Cthulhu Stealer é a mais recente adição a essa lista crescente, indicando uma mudança no cenário da cibersegurança para os usuários de macOS.
O Cthulhu Stealer é distribuído como um arquivo de imagem de disco da Apple (DMG), disfarçando-se como software legítimo, como CleanMyMac, Grand Theft Auto IV ou Adobe GenP, de acordo com o relatório da Cado. O malware, escrito em GoLang, é projetado para arquiteturas x86_64 e ARM. Isso segue relatos recentes de outro malware que rouba criptomoedas, visando jogadores de Call of Duty.
Após a execução, o malware usa o osascript para solicitar aos usuários sua senha de sistema e credenciais da carteira MetaMask. Ele então cria um diretório em ‘/Users/Shared/NW’ para armazenar as informações roubadas. A principal função do malware é extrair credenciais e carteiras de criptomoedas de várias fontes, incluindo cookies de navegador, contas de jogos e várias carteiras de criptomoedas.
O Cthulhu Stealer compartilha semelhanças com o Atomic Stealer, outro malware direcionado ao macOS identificado em 2023. Ambos são escritos em Go e focam em roubar carteiras de criptomoedas, credenciais de navegador e dados de keychain. A semelhança na funcionalidade sugere que o Cthulhu Stealer pode ser uma versão modificada do Atomic Stealer.
O malware é operado por um grupo conhecido como “Cthulhu Team”, que usa o Telegram para comunicação. Eles oferecem o stealer para aluguel a US$ 500 por mês como parte de um modelo de malware como serviço, com afiliados responsáveis pela implantação e recebendo uma porcentagem dos lucros.
O que é Malware como serviço?
Malware como serviço é um modelo de negócios no mundo do cibercrime em que software malicioso e serviços relacionados são vendidos ou alugados para clientes, tipicamente outros criminosos. Isso permite que indivíduos ou grupos sem habilidades técnicas avançadas realizem ciberataques usando ferramentas de malware pré-fabricadas e infraestrutura. Os provedores de MaaS frequentemente oferecem suporte ao cliente, atualizações e opções de personalização, semelhantes aos serviços de software legítimos.
No entanto, desenvolvimentos recentes sugerem problemas dentro da operação.
Afiliados apresentaram reclamações contra o desenvolvedor principal, conhecido como “Cthulhu” ou “Balaclavv”, acusando-o de reter pagamentos, de acordo com o relatório da Cado. Os pesquisadores notaram que isso levou o desenvolvedor a ser banido de pelo menos um marketplace de malware.
* Traduzido e editado com autorização do Decrypt.
- Quer investir em criptomoedas selecionadas por especialistas de forma 100% automatizada? Conheça a Cesta Inteligente! Você escolhe o portfólio que faz sentido para você, o valor que quer investir e o MB faz as negociações.