Los investigadores de ciberseguridad han descubierto un nuevo ladrón de información diseñado para atacar sistemas Apple macOS y recopilar una amplia gama de información, lo que subraya cómo los actores de amenazas están aumentando su enfoque en este sistema operativo.
Llamado Cthulhu Stealer, el malware ha estado disponible bajo un modelo de malware como servicio (MaaS) por $500 al mes desde finales de 2023. Es capaz de atacar tanto arquitecturas x86_64 como Arm.
«Cthulhu Stealer es una imagen de disco de Apple (DMG) que viene empaquetada con dos binarios, dependiendo de la arquitectura», dijo la investigadora de Cado Security, Tara Gould. «El malware está escrito en Golang y se disfraza de software legítimo.»
Algunos de los programas de software que imita incluyen CleanMyMac, Grand Theft Auto IV y Adobe GenP, este último es una herramienta de código abierto que parchea aplicaciones de Adobe para eludir el servicio Creative Cloud y activarlas sin una clave de serie.
Los usuarios que terminen lanzando el archivo no firmado después de permitir explícitamente su ejecución —es decir, eludiendo las protecciones de Gatekeeper— son invitados a ingresar su contraseña del sistema, una técnica basada en osascript que ha sido adoptada por Atomic Stealer, Cuckoo, MacStealer y Banshee Stealer.
En el siguiente paso, se presenta un segundo aviso para ingresar su contraseña de MetaMask. Cthulhu Stealer también está diseñado para recopilar información del sistema y extraer contraseñas del llavero de iCloud utilizando una herramienta de código abierto llamada Chainbreaker.
Los datos robados, que también comprenden cookies de navegador web e información de cuentas de Telegram, se comprimen y almacenan en un archivo ZIP, después de lo cual se exfiltran a un servidor de comando y control (C2).
Credito: The Hacker News
«La principal funcionalidad de Cthulhu Stealer es robar credenciales y billeteras de criptomonedas de varias tiendas, incluidas cuentas de juegos», dijo Gould.
«Las funcionalidades y características de Cthulhu Stealer son muy similares a las de Atomic Stealer, lo que indica que el desarrollador de Cthulhu Stealer probablemente tomó Atomic Stealer y modificó el código. El uso de osascript para solicitar la contraseña del usuario es similar en Atomic Stealer y Cthulhu, incluso con los mismos errores ortográficos.»
Se dice que los actores de amenazas detrás del malware ya no están activos, en parte debido a disputas sobre pagos que han llevado a acusaciones de estafa por parte de afiliados, lo que resultó en la prohibición permanente del desarrollador principal de un mercado de cibercrimen utilizado para anunciar el stealer.
Cthulhu Stealer no es particularmente sofisticado y carece de técnicas anti-análisis que podrían permitirle operar de manera sigilosa. También le falta una característica destacada que lo distinga de otras ofertas similares en el mercado negro.
Aunque las amenazas a macOS son mucho menos prevalentes que a Windows y Linux, se aconseja a los usuarios que descarguen software solo de fuentes confiables, eviten instalar aplicaciones no verificadas y mantengan sus sistemas actualizados con los últimos parches de seguridad.
El aumento del malware en macOS no ha pasado desapercibido para Apple, que, a principios de este mes, anunció una actualización para su próxima versión del sistema operativo que tiene como objetivo agregar más fricción al intentar abrir software que no esté firmado correctamente o notariado.
«En macOS Sequoia, los usuarios ya no podrán Control-clic para anular Gatekeeper al abrir software que no esté firmado correctamente o notariado», dijo Apple. «Deberán visitar Configuración del Sistema > Privacidad y Seguridad para revisar la información de seguridad del software antes de permitir su ejecución.»
ES
Nuevo malware de macOS «Cthulhu Stealer» apunta a los datos de los usuarios de Apple
Los investigadores de ciberseguridad han descubierto un nuevo ladrón de información diseñado para atacar sistemas Apple macOS y recopilar una amplia gama de información, lo que subraya cómo los actores de amenazas están aumentando su enfoque en este sistema operativo.
Llamado Cthulhu Stealer, el malware ha estado disponible bajo un modelo de malware como servicio (MaaS) por $500 al mes desde finales de 2023. Es capaz de atacar tanto arquitecturas x86_64 como Arm.
«Cthulhu Stealer es una imagen de disco de Apple (DMG) que viene empaquetada con dos binarios, dependiendo de la arquitectura», dijo la investigadora de Cado Security, Tara Gould. «El malware está escrito en Golang y se disfraza de software legítimo.»
Algunos de los programas de software que imita incluyen CleanMyMac, Grand Theft Auto IV y Adobe GenP, este último es una herramienta de código abierto que parchea aplicaciones de Adobe para eludir el servicio Creative Cloud y activarlas sin una clave de serie.
Los usuarios que terminen lanzando el archivo no firmado después de permitir explícitamente su ejecución —es decir, eludiendo las protecciones de Gatekeeper— son invitados a ingresar su contraseña del sistema, una técnica basada en osascript que ha sido adoptada por Atomic Stealer, Cuckoo, MacStealer y Banshee Stealer.
En el siguiente paso, se presenta un segundo aviso para ingresar su contraseña de MetaMask. Cthulhu Stealer también está diseñado para recopilar información del sistema y extraer contraseñas del llavero de iCloud utilizando una herramienta de código abierto llamada Chainbreaker.
Los datos robados, que también comprenden cookies de navegador web e información de cuentas de Telegram, se comprimen y almacenan en un archivo ZIP, después de lo cual se exfiltran a un servidor de comando y control (C2).
«La principal funcionalidad de Cthulhu Stealer es robar credenciales y billeteras de criptomonedas de varias tiendas, incluidas cuentas de juegos», dijo Gould.
«Las funcionalidades y características de Cthulhu Stealer son muy similares a las de Atomic Stealer, lo que indica que el desarrollador de Cthulhu Stealer probablemente tomó Atomic Stealer y modificó el código. El uso de osascript para solicitar la contraseña del usuario es similar en Atomic Stealer y Cthulhu, incluso con los mismos errores ortográficos.»
Se dice que los actores de amenazas detrás del malware ya no están activos, en parte debido a disputas sobre pagos que han llevado a acusaciones de estafa por parte de afiliados, lo que resultó en la prohibición permanente del desarrollador principal de un mercado de cibercrimen utilizado para anunciar el stealer.
Cthulhu Stealer no es particularmente sofisticado y carece de técnicas anti-análisis que podrían permitirle operar de manera sigilosa. También le falta una característica destacada que lo distinga de otras ofertas similares en el mercado negro.
Aunque las amenazas a macOS son mucho menos prevalentes que a Windows y Linux, se aconseja a los usuarios que descarguen software solo de fuentes confiables, eviten instalar aplicaciones no verificadas y mantengan sus sistemas actualizados con los últimos parches de seguridad.
El aumento del malware en macOS no ha pasado desapercibido para Apple, que, a principios de este mes, anunció una actualización para su próxima versión del sistema operativo que tiene como objetivo agregar más fricción al intentar abrir software que no esté firmado correctamente o notariado.
«En macOS Sequoia, los usuarios ya no podrán Control-clic para anular Gatekeeper al abrir software que no esté firmado correctamente o notariado», dijo Apple. «Deberán visitar Configuración del Sistema > Privacidad y Seguridad para revisar la información de seguridad del software antes de permitir su ejecución.»
{Traducido por Gigatech MSP}
{Articulo original por TheHackerNews}
Recent Posts
Recent Post
La nueva herramienta gratuita de Cloudflare detiene
septiembre 10, 2024El dispositivo «accesorio para el hogar» rumoreado
septiembre 6, 2024Cómo los distritos K-12 pueden prepararse para
septiembre 5, 2024Tags