23 de agosto de 2024Ravie LakshmananSeguridad de endpoints / Privacidad de datos Los investigadores de ciberseguridad han descubierto un nuevo ladrón de información diseñado para atacar a los hosts macOS de Apple y recopilar una amplia gama de información, lo que subraya cómo los actores de amenazas están poniendo cada vez más sus miras en el sistema operativo. El malware, denominado Cthulhu Stealer, está disponible bajo un modelo de malware como servicio (MaaS) por $500 al mes desde fines de 2023. Es capaz de atacar tanto a arquitecturas x86_64 como a Arm. «Cthulhu Stealer es una imagen de disco de Apple (DMG) que se incluye con dos binarios, según la arquitectura», dijo la investigadora de seguridad de Cato, Tara Gould. «El malware está escrito en Golang y se disfraza de software legítimo». Algunos de los programas de software que suplanta incluyen CleanMyMac, Grand Theft Auto IV y Adobe GenP, el último de los cuales es una herramienta de código abierto que parchea las aplicaciones de Adobe para evitar el servicio Creative Cloud y las activa sin una clave de serie. A los usuarios que terminan ejecutando el archivo sin firmar después de permitir explícitamente su ejecución (es decir, eludiendo las protecciones de Gatekeeper) se les solicita que ingresen su contraseña del sistema, una técnica basada en osascript que ha sido adoptada por Atomic Stealer, Cuckoo, MacStealer y Banshee Stealer. En el siguiente paso, se presenta un segundo mensaje para ingresar su contraseña de MetaMask. Cthulhu Stealer también está diseñado para recopilar información del sistema y volcar contraseñas de iCloud Keychain utilizando una herramienta de código abierto llamada Chainbreaker. Los datos robados, que también incluyen cookies del navegador web e información de la cuenta de Telegram, se comprimen y almacenan en un archivo ZIP, después de lo cual se exfiltran a un servidor de comando y control (C2). «La principal funcionalidad de Cthulhu Stealer es robar credenciales y billeteras de criptomonedas de varias tiendas, incluidas las cuentas de juegos», dijo Gould. «La funcionalidad y las características de Cthulhu Stealer son muy similares a Atomic Stealer, lo que indica que el desarrollador de Cthulhu Stealer probablemente tomó Atomic Stealer y modificó el código. El uso de osascript para solicitar al usuario su contraseña es similar en Atomic Stealer y Cthulhu, incluso incluye los mismos errores ortográficos». Se dice que los actores de amenazas detrás del malware ya no están activos, en parte impulsados ​​por disputas sobre pagos que han llevado a acusaciones de estafa de salida por parte de afiliados, lo que resultó en que el desarrollador principal fuera expulsado permanentemente de un mercado de delitos cibernéticos utilizado para publicitar el ladrón. Cthulhu Stealer no es particularmente sofisticado y carece de técnicas anti-análisis que podrían permitirle operar de manera sigilosa. También carece de cualquier característica destacada que lo distinga de otras ofertas similares en el underground. Aunque las amenazas a macOS son mucho menos frecuentes que a Windows y Linux, se recomienda a los usuarios que descarguen software solo de fuentes confiables, eviten instalar aplicaciones no verificadas y mantengan sus sistemas actualizados con las últimas actualizaciones de seguridad. El aumento del malware para macOS no ha pasado desapercibido para Apple, que, a principios de este mes, anunció una actualización para su próxima versión del sistema operativo que tiene como objetivo agregar más fricción al intentar abrir software que no esté firmado correctamente o certificado. «En macOS Sequoia, los usuarios ya no podrán hacer Control-clic para anular Gatekeeper al abrir software que no esté firmado correctamente o certificado», dijo Apple. «Deberán visitar Configuración del sistema > Privacidad y seguridad para revisar la información de seguridad del software antes de permitir que se ejecute». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.