Cthulhu Stealer

サイバーセキュリティ研究者は、Apple macOS システムを標的にするように特別に設計された新しい情報窃取マルウェアを特定しました。これは、脅威アクターがこのオペレーティングシステムに重点を置く傾向が高まっていることを浮き彫りにしています。Cthulhu Stealer と名付けられたこのマルウェアは、2023 年後半からマルウェア・アズ・ア・サービス (MaaS) パッケージの一部として提供されており、月額 500 ドルです。x86_64 と Arm の両方のアーキテクチャを攻撃できます。

Cthulhu Stealer は、異なるアーキテクチャに合わせて調整された 2 つのバイナリを含む Apple ディスク イメージ (DMG) として配布されます。Golang で記述されたこのマルウェアは、正規のソフトウェアを装います。模倣するソフトウェア プログラムには、CleanMyMac、Grand Theft Auto IV、Adobe GenP などがあります。Adobe GenP は、Adobe Creative Cloud のアクティベーション プロセスをバイパスするために使用されるオープン ソース ツールです。

クトゥルフスティーラーが機密データと認証情報を収集

Gatekeeper の保護を手動で回避した後、署名のないファイルを起動することを選択したユーザーは、システム パスワードの入力を求められます。スクリプトに基づくこの手法は、 Atomic Stealer、 Cuckoo 、 MacStealer 、 Banshee Stealerなどの他のマルウェアでも使用されています。

これに続いて、ユーザーは MetaMask のパスワードを入力するよう求められます。Cthulhu Stealer には、Chainbreaker と呼ばれるオープンソース ツールを使用してシステム情報を収集し、iCloud キーチェーンのパスワードを抽出する機能も備わっています。

収集されたデータには、Web ブラウザの Cookie や Telegram アカウント情報などが含まれており、ZIP アーカイブに圧縮され、コマンド アンド コントロール (C2) サーバーに送信されて流出します。

クトゥルフ・スティーラーの能力の分析

Cthulhu Stealer の主な機能は、ゲーム アカウントを含むさまざまなソースから認証情報と暗号通貨ウォレットを収集することです。その機能は Atomic Stealer と非常によく似ており、Cthulhu Stealer の開発者が Atomic Stealer のコードを変更した可能性があります。どちらも osascript を使用してユーザーにパスワードの入力を求めており、スペルミスも同じです。

このマルウェアの背後にいるグループは、支払いをめぐる争いもあって現在は活動していないと報じられており、関係者からは出口詐欺だと非難されている。その結果、主な開発者は、このマルウェアが宣伝されていたサイバー犯罪マーケットプレイスから永久に追放された。

Cthulhu Stealer は特に洗練されておらず、ステルス動作を可能にする高度な分析回避技術が欠けています。また、地下市場の他の類似ツールと一線を画すような特徴的な機能もありません。

Appleはマルウェア防止のための追加対策を実施中

macOS は Windows や Linux に比べて脅威が少ないとはいえ、ユーザーは依然として注意が必要です。信頼できるソースからのみソフトウェアをダウンロードし、検証されていないアプリケーションのインストールを避け、最新のセキュリティ パッチでシステムを最新の状態に保つことが重要です。

Apple は macOS マルウェアの増加を認め、今月初めに次期オペレーティングシステムバージョンである Sequoia のアップデートを発表しました。このアップデートでは、適切に署名または認証されていないソフトウェアを開くためのより厳格な対策が導入されています。

macOS Sequoia では、ユーザーは、Control キーを押しながらクリックして、未検証のソフトウェアの Gatekeeper をバイパスすることができなくなります。代わりに、そのようなアプリケーションを実行する前に、システム設定 > プライバシーとセキュリティに移動して、セキュリティ情報を確認して承認する必要があります。