Эксперты: новое вредоносное ПО Cthulhu крадет ключи от криптокошельков в MacOS

• Аналитики Cado Security предупредили пользователей MacOS о новом вредоносном программном обеспечении.
• ПО, известное под названием Cthulhu Stealer, крадет ключи от криптокошельков и распространяется в рамках модели Malware-as-a-Service.
• Создатели вируса сдают в аренду свою разработку через Telegram-группу за $500 в месяц.

Аналитики компании Cado Security выявили новое вредоносное программное обеспечение, которое представляет угрозу для пользователей операционной системы MacOS. Вирус нацелен на кражу личных данных и ключей от криптокошельков.

Программа известна как Cthulhu Stealer. ПО распространяется в качестве образа диска Apple (DMG) и при попадании в компьютерную систему маскируется под легальное ПО — CleanMyMac, Grand Theft Auto IV или Adobe GenP.

После активации программы она выполняет команду osascript, запрашивая у пользователя системный пароль и учетные данные кошелька. Параллельно Cthulhu Stealer создает каталог ‘/Users/Shared/NW’ для хранения полученной информации. 

Главная задача вредоносного ПО — кража личных данных из различных источников. К ним относятся игровые аккаунты, браузер, криптовалютные кошельки и другие места хранения информации.

Аналитики отмечают схожесть Cthulhu Stealer с еще одним хакерским программным обеспечением. Речь идет об Atomic Stealer, который аналогичным образом похищал данные через MacOS, и был выявлен экспертами в 2023 году. Специалисты считают, что новое ПО — это, вероятно, модифицированная версия предыдущей вредоносной программы.

Создатели Cthulhu Stealer используют особую схему распространения своей разработки. Для этого они создали Telegram-группу, в которой предлагают взять вирус в аренду за $500 в месяц. Такая схема называется Malware-as-a-Service (MaaS).

Помимо средств за «подписку» на вредоносное ПО, хакеры получают процент от краж. Они также обеспечивают развертывание программного обеспечения и оказывают техническую поддержку своих клиентов.

Отметим, что создатели Cthulhu Stealer, по информации экспертов, недавно столкнулись с трудностями. Некоторые партнеры главного разработчика вируса, известного по прозвищу Balaclavv, пожаловались на задержку по платежам. В итоге программное обеспечение от этого хакера заблокировали как минимум на одной из площадок по продаже вредоносного ПО, утверждают в Cado Security.

Напомним, мы писали, что злоумышленники использовали расширение Chrome для атак на пользователей Solana.