Експерти: нове шкідливе ПЗ Cthulhu краде ключі від криптогаманців у MacOS
- Аналітики Cado Security попередили користувачів MacOS про нове шкідливе програмне забезпечення.
- ПЗ, відоме під назвою Cthulhu Stealer, краде ключі від криптогаманців і поширюється в рамках моделі Malware-as-a-Service.
- Творці вірусу здають в оренду свою розробку через Telegram-групу за $500 на місяць.
Аналітики компанії Cado Security виявили нове шкідливе програмне забезпечення, яке становить загрозу для користувачів операційної системи MacOS. Вірус націлений на крадіжку особистих даних і ключів від криптогаманців.
Програма відома як Cthulhu Stealer. ПЗ поширюється як образ диска Apple (DMG) і під час потрапляння в комп’ютерну систему маскується під легальне ПЗ — CleanMyMac, Grand Theft Auto IV або Adobe GenP.
Після активації програми вона виконує команду osascript, запитуючи у користувача системний пароль і облікові дані гаманця. Паралельно Cthulhu Stealer створює каталог ‘/Users/Shared/NW’ для зберігання отриманої інформації.
Головне завдання шкідливого ПЗ — крадіжка особистих даних із різних джерел. До них належать ігрові акаунти, браузер, криптовалютні гаманці та інші місця зберігання інформації.
Аналітики відзначають схожість Cthulhu Stealer зі ще одним хакерським програмним забезпеченням. Йдеться про Atomic Stealer, який аналогічним чином викрадав дані через MacOS, і був виявлений експертами у 2023 році. Фахівці вважають, що нове ПЗ — це, ймовірно, модифікована версія попередньої шкідливої програми.
Творці Cthulhu Stealer використовують особливу схему поширення своєї розробки. Для цього вони створили Telegram-групу, в якій пропонують взяти вірус в оренду за $500 на місяць. Така схема називається Malware-as-a-Service (MaaS).
Крім коштів за «підписку» на шкідливе ПЗ, хакери отримують відсоток від крадіжок. Вони також забезпечують розгортання програмного забезпечення і надають технічну підтримку своїх клієнтів.
Зазначимо, що творці Cthulhu Stealer, за інформацією експертів, нещодавно постали перед труднощами. Деякі партнери головного розробника вірусу, відомого на прізвисько Balaclavv, поскаржилися на затримку з платежами. У підсумку програмне забезпечення від цього хакера заблокували щонайменше на одному з майданчиків із продажу шкідливого ПЗ, стверджують у Cado Security.
Нагадаємо, ми писали, що зловмисники використовували розширення Chrome для атак на користувачів Solana.
