Nel mondo della sicurezza informatica, il malware continua a rappresentare una minaccia significativa, anche per gli utenti macOS, storicamente considerati più al sicuro rispetto ad altre piattaforme. Recentemente, Cado Security ha rivelato dettagli sul Cthulhu Stealer, un malware progettato per rubare credenziali e criptovalute su sistemi macOS. Questa analisi si concentra su come il malware opera e su quali rischi comporta per gli utenti Apple, evidenziando l’importanza di misure di sicurezza adeguate.
Analisi Tecnica di Cthulhu Stealer: come funziona e cosa ruba
Cthulhu Stealer è un malware sviluppato in GoLang, distribuito sotto forma di un Apple Disk Image (DMG), e si presenta come software legittimo. Una volta che l’utente monta l’immagine disco, viene invitato a inserire le proprie credenziali tramite osascript, un tool di macOS per eseguire AppleScript e JavaScript. Dopo aver ottenuto la password dell’utente, il malware chiede ulteriori credenziali, come quelle dell’app MetaMask, e salva queste informazioni in una directory specifica (/Users/Shared/NW), dove vengono compressi in un file ZIP e inviati al server di comando e controllo (C2).
Oltre a rubare credenziali, Cthulhu Stealer raccoglie informazioni dettagliate sul sistema della vittima, comprese informazioni sull’hardware e sul software installato, l’indirizzo IP e altre informazioni di sistema. Il malware è anche in grado di sottrarre dati da vari wallet di criptovalute, inclusi MetaMask, Trust Wallet, e Coinbase, rendendolo particolarmente pericoloso per chi gestisce asset digitali su macOS.
Le tecniche utilizzate da Cthulhu Stealer per ingannare gli utenti e rubare informazioni sono sofisticate, utilizzando file DMG con nomi come “CleanMyMac” o “AdobeGenP” per sembrare affidabili. Questo sottolinea l’importanza di scaricare software solo da fonti ufficiali e di mantenere attive le funzionalità di sicurezza integrate in macOS, come Gatekeeper.
Cthulhu Stealer e il suo impatto sul Mercato del Malware
Il Cthulhu Stealer non è il primo infostealer a prendere di mira gli utenti macOS, ma rappresenta una nuova evoluzione di questo tipo di malware. Simile al precedente Atomic Stealer, Cthulhu Stealer è stato distribuito come malware-as-a-service (MaaS) su forum e marketplace di cybercriminali. Gli sviluppatori, noti come “Cthulhu Team”, hanno noleggiato il malware a vari affiliati per $500 al mese, ricevendo una percentuale dei profitti generati dalle infezioni.
Tuttavia, l’operazione sembra aver subito un contraccolpo nel 2024, quando diversi affiliati hanno accusato il team di non aver pagato le somme dovute, portando alla loro esclusione da un marketplace di malware. Questo evento non solo ha interrotto le attività del gruppo, ma ha anche rivelato le dinamiche interne delle operazioni di malware-as-a-service, dove la fiducia tra sviluppatori e affiliati è essenziale per il successo continuato.
L’esistenza e la diffusione di malware come Cthulhu Stealer sottolineano che gli utenti macOS non sono immuni dalle minacce informatiche. Con la crescente popolarità di macOS e l’aumento delle criptovalute, i criminali informatici stanno sviluppando malware sempre più sofisticati per sfruttare queste piattaforme. Gli utenti devono quindi rimanere vigili, aggiornare regolarmente i loro sistemi e considerare l’uso di software antivirus per proteggere i loro dispositivi e dati.
Cthulhu Stealer rappresenta un ulteriore esempio di come i malware stiano evolvendo per prendere di mira utenti specifici e rubare dati sensibili. Con un’operazione ben organizzata dietro di sé, il malware è riuscito a colpire un numero significativo di utenti macOS prima di essere smantellato. Questo sottolinea l’importanza di rimanere informati e di adottare misure di sicurezza adeguate per proteggere i propri dispositivi Apple dalle crescenti minacce informatiche.
