Компания Cado Security обнаружила вредоносную программу-как-сервис (MaaS) под названием «Cthulhu Stealer», нацеленную на системы macOS.
Cthulhu Stealer
Вредоносная программа представляет собой образ диска Apple (DMG), который маскируется под легитимное ПО и содержит два исполняемых файла на языке GoLang. После монтирования файла, пользователю предлагается открыть программу, и при этом запрашивается пароль. Затем программа запрашивает пароль MetaMask. После ввода паролей, данные сохраняются в текстовых файлах и отправляются на C2-сервер. Вредоносная программа также собирает информацию о системе жертвы, включая IP-адрес, и отправляет ее на C2-сервер. Основная функциональность Cthulhu Stealer заключается в краже учетных данных и криптовалютных кошельков из различных магазинов, игровых аккаунтов и браузера. Анализ программы показал, что Cthulhu Stealer схож с другим вредоносным программным обеспечением Atomic Stealer, что указывает на возможность использования одного и того же разработчика или модификацию кода. Разработчики Cthulhu Stealer используют Telegram для связи и продажи программы.
Indicators of Compromise
IPv4
- 89.208.103.185
URLs
- 89.208.103.185:4000/autocheckbytes
- 89.208.103.185:4000/notification_archive
SHA256
- 6483094f7784c424891644a85d5535688c8969666e16a194d397dc66779b0b12
- 96f80fef3323e5bc0ce067cd7a93b9739174e29f786b09357125550a033b0288
- de33b7fb6f3d77101f81822c58540c87bd7323896913130268b9ce24f8c61e24
- e3f1e91de8af95cd56ec95737669c3512f90cecbc6696579ae2be349e30327a7
- f79b7cbc653696af0dbd867c0a5d47698bcfc05f63b665ad48018d2610b7e97b
