Cthulhu Stealer 是一种新型 macOS 恶意软件，由 Cado Security 网络安全研究人员发现，它能够同时针对 x86_64 和 Arm 架构的 macOS 机型。该恶意软件伪装成合法软件，如清理工具或游戏，诱骗用户安装。一旦安装，它会要求用户输入密码和 MetaMask 密码，并使用 Chainbreaker 工具收集系统信息和 iCloud Keychain 密码。此外，Cthulhu Stealer 的主要目标是窃取各种商店的登录凭证，包括加密货币钱包、游戏账户等敏感信息。它将窃取的信息存储在本地目录中，并将其发送到 C2 服务器。

🦠 **伪装成合法软件:** Cthulhu Stealer 伪装成合法软件，如清理工具或游戏，以诱骗用户安装。

🔑 **窃取用户凭证:** 该恶意软件会要求用户输入密码和 MetaMask 密码，并使用 Chainbreaker 工具收集系统信息和 iCloud Keychain 密码。

💰 **窃取敏感信息:** Cthulhu Stealer 的主要目标是窃取各种商店的登录凭证，包括加密货币钱包、游戏账户等敏感信息。它会将窃取的信息存储在本地目录中，并将其发送到 C2 服务器。

🛡️ **苹果采取措施:** 苹果已宣布将在 macOS Sequoia 中更新 Gatekeeper，阻止用户打开未签名或未经认证的软件，以增强系统安全性。

🌐 **信息搜集:** Cthulhu Stealer 会搜集受害者系统信息，包括 IP 地址、系统版本、硬件和软件信息等，并将这些信息发送到 C2 服务器。

IT之家 8 月 23 日消息，尽管 MacOS 以安全著称，但近年来已经出现了多种针对该操作系统的恶意软件，例如 Silver Sparrow、KeRanger 和 Atomic Stealer 等。

Cado Security 网络安全研究人员现公布了一种新的 macOS 恶意软件，名为 Cthulhu Stealer，它能够同时针对 x86_64 和 Arm 架构的 MacOS 机型。

该软件基于 GoLang 编写，它会伪装成合法软件，例如垃圾清理工具“CleanMyMac”或者《侠盗猎车手 IV》，也有部分会伪装成 Adobe GenP（Adobe 破解工具）。

待用户安装 dmg 后，它就会提示用户打开。当用户打开该文件后，它就会借助 macOS 命令行工具 osascript 提示用户输入密码。

当用户输入密码后，它紧接着又会要求用户输入 MetaMask 密码。此外，Cthulhu Stealer 还会使用名为 Chainbreaker 的开源工具来收集系统信息并转储 iCloud Keychain 密码。

相比于这些密码，Cthulhu Stealer 最主要的目的还是从各种商店中窃取登录凭证，包括加密货币钱包、游戏账户等敏感信息。

它会在“/Users/ Shared / NW”中创建一个目录，将其凭据存储在文本文件中；包含被盗数据的 zip 压缩文件则存在于：/Users/ Shared / NW/[CountryCode] Cthulhu_Mac_OS_[date]_[time].zip。

此外，它还会向 C2 发送通知，以提醒其有新的日志。该恶意软件会对受害者的系统进行信息搜索、收集，例如 IP 地址（详细信息会从 ipinfo.io 获取）、系统信息（包括系统名称、操作系统版本、硬件和软件信息）等等。

据IT之家所知，目前 Cthulhu Stealer 已确定会收集的信息包括：

浏览器 Cookie

Coinbase 钱包

Chrome 扩展钱包

Telegram Tdata 账户信息

《我的世界》用户信息

Wasabi 钱包

MetaMask 钱包

Keychain 密码

SafeStorage 密码

战网平台游戏、缓存和日志数据

Firefox 的 Cookie

Daedalus 钱包

Electrum 钱包

Atomic 钱包

Binanace 钱包

Harmony 钱包

Electrum 钱包

Enjin 钱包

Hoo 钱包

Dapper 钱包

Coinomi 钱包

Trust 钱包

Blockchain 钱包

XDeFI 钱包

对于此类软件，苹果本月早些时候宣布将为 macOS 提供更新，在用户尝试打开未签名或未经认证的软件时进行阻拦。

苹果表示：“在 macOS Sequoia 中，用户将无法在打开未正确签名或未经公证的软件时按住 Control 键来覆盖 Gatekeeper。”“他们需要访问系统设置 > 隐私和安全，在允许软件运行之前查看软件的安全信息。”