En Resumen
- Los investigadores de seguridad han identificado un nuevo malware como servicio (MaaS) llamado "Cthulhu Stealer" que se dirige específicamente a sistemas macOS.
- Cthulhu Stealer se distribuye como un archivo de imagen de disco de Apple (DMG), disfrazándose de software legítimo como CleanMyMac o Grand Theft Auto IV.
- El malware, escrito en GoLang, está diseñado para las arquitecturas x86_64 y ARM, y roba credenciales y billeteras de criptomonedas de diversas fuentes, incluidas cookies del navegador y cuentas de juegos.
En un desarrollo preocupante para los usuarios de macOS y poseedores de criptomonedas, los investigadores de seguridad han identificado un nuevo malware como servicio (MaaS) llamado "Cthulhu Stealer".
Según un informe reciente de Cado Security, este malware se dirige específicamente a sistemas macOS, desafiando la creencia arraigada de que el sistema operativo de Apple es inmune a tales amenazas.
Si bien macOS ha mantenido una reputación de seguridad importante, en los últimos años se ha observado un aumento en malware dirigido a la plataforma de Apple. Ejemplos destacados incluyen Silver Sparrow, KeRanger y Atomic Stealer. Cthulhu Stealer es la última incorporación a esta creciente lista, lo que indica un cambio en el panorama de ciberseguridad para los usuarios de macOS.
Cthulhu Stealer se distribuye como un archivo de imagen de disco de Apple (DMG), disfrazándose de software legítimo como CleanMyMac, Grand Theft Auto IV o Adobe GenP, según el informe de Cado. El malware, escrito en GoLang, está diseñado para las arquitecturas x86_64 y ARM. Esta amenaza surge tras informes recientes de otro malware de robo de criptomonedas dirigido a jugadores de Call of Duty.
Al ejecutarse, el malware utiliza osascript para solicitar a los usuarios su contraseña del sistema y credenciales de MetaMask. Luego crea un directorio en '/Users/Shared/NW' para almacenar la información robada. La función principal del malware es extraer credenciales y billeteras de criptomonedas de diversas fuentes, incluidas cookies del navegador, cuentas de juegos y múltiples billeteras de criptomonedas.
Cthulhu Stealer comparte similitudes con Atomic Stealer, otro malware dirigido a macOS identificado en 2023. Ambos están escritos en Go y se centran en robar billeteras de criptomonedas, credenciales del navegador y datos del llavero. La similitud en la funcionalidad sugiere que Cthulhu Stealer podría ser una versión modificada de Atomic Stealer.
El malware es operado por un grupo conocido como "Equipo Cthulhu", que utiliza Telegram para la comunicación. Ofrecen el stealer en alquiler por $500 al mes como parte de un modelo de malware como servicio, con afiliados responsables de la implementación y recibiendo un porcentaje de las ganancias.
El malware como servicio es un modelo de negocio en el mundo del cibercrimen donde se venden o alquilan software malicioso y servicios relacionados con clientes, típicamente a otros criminales. Esto permite a individuos o grupos sin habilidades técnicas avanzadas llevar a cabo ciberataques utilizando herramientas de malware preconfiguradas. Los proveedores de MaaS a menudo ofrecen soporte al cliente, actualizaciones y opciones de personalización, similares a los servicios de software legítimos.
Sin embargo, los desarrollos recientes sugieren problemas dentro de la operación.
Los afiliados han presentado quejas contra el desarrollador principal, conocido como "Cthulhu" o "Balaclavv", acusándolos de retener pagos, según el informe de Cado. Los investigadores señalaron que esto ha llevado a que el desarrollador sea prohibido al menos en un mercado de malware.
Editado por Stacy Elliott.