信息窃取恶意软件在macOS中窃取加密钱包和浏览器凭证

1輩吇筷楽

一个新的信息窃取者正试图利用 macOS 环境中的一些固有安全缺陷，利用地球上最流行的恶意软件工具之一的尾随。

在一篇新的博客文章中，Cado Security讨论了“克苏鲁窃贼”，这是一种最近流行的新网络犯罪工具。它旨在获取加密货币钱包和游戏凭据，以及浏览器数据。它不是特别复杂，也许是因为它不必如此。Atomic Stealer——克苏鲁的祖先——已经证明了这一点。在过去的几年里，这种基本上普通的窃取程序已成为全球最流行的恶意软件之一。专家认为，这可能与安全社区过去忽视Mac的一些方式有关。

案例研究：克苏鲁偷窃者

Cthulhu Stealer 是用 Golang 编写的 Apple 磁盘映像 （DMG）。它通常会出现在受害者的眼球前，伪装成合法的软件程序，例如 CleanMyMac 维护工具或侠盗猎车手视频游戏。

打开后，该程序会要求提供受害者的系统密码，并且不合逻辑地要求提供他们的 Metamask 加密货币钱包密码。

“对用户来说，它应该看起来很可疑，但有时人们下载东西时，他们可能不会思考，”Cado Security的威胁研究员Tara Gould指出。特别是克苏鲁的目标人群，“他们可能更年轻，或者可能不那么精通计算机。有很多原因可以解释为什么它可能不会被标记为可疑。

一旦植入，该程序就会收集系统数据，例如其 IP 地址、操作系统版本以及各种硬件和软件信息。然后，它追求其真正的目标：加密货币、游戏帐户和浏览器凭据。有针对性的应用程序包括 Coinbase、Binance 和 Atomic 加密钱包、Firefox cookie 以及 Battle.net 和 Minecraft 用户数据。

尽管在网络犯罪论坛上的运行价格为每月 500 美元，但 Cthulhu Stealer 基本上并不复杂，没有任何出色的隐身技术，并且与地下至少一种其他商业可用产品几乎没有区别。

Atomic Stealer 铺设的道路

Cthulhu Stealer 最显着的特点是它非常接近地复制 Atomic Stealer。它们不仅具有许多相同的功能和特性，而且 Cthulhu Stealer 甚至在 Atomic Stealer 的代码中包含了一些相同的拼写错误。

Atomic Stealer 本身并不那么引人注目。此前，Dark Reading 指出它缺乏持久性机制，并将其描述为本质上的“砸抢”。不过，难怪其他恶意软件作者可能想要复制它，因为它是当今世界上最成功的信息窃取者之一。

在上个月的一份报告中，Red Canary 将其列为当今第六大最流行的恶意软件，与流行的 SocGholish 和 Lumma 以及无处不在的 Cobalt Strike 并列。它的第六名实际上比之前的 Red Canary 报告下降了一步，到目前为止，Red Canary 报告已将 Atomic Stealer 列入其 2024 年全年的前 10 名名单。

“任何 macOS 威胁都会进入前 10 名，这一事实非常令人震惊，”Red Canary 的首席信息安全专家 Brian Donohue 指出。“我冒昧地猜测，任何对macOS设备有重要影响的组织都可能在其环境中的某个地方潜伏着Atomic Stealer。”

企业应如何处理 macOS 威胁

与 Windows 和 Linux 相比，对 macOS 的威胁明显不那么常见，Elastic 2022 年和 2023 年的数据显示，在这些系统上可以找到所有恶意软件中只有 6% 左右。

“Windows仍然是最大的目标，因为大公司往往仍然非常依赖Windows，但这种情况正在发生变化。许多企业开始增加他们拥有的 Mac 数量，因此这肯定会成为一个更大的问题，“Gould 说。

黑客还没有全部加入这一行列，但人们的兴趣越来越大，也许是因为防御者的兴趣太少了。

Elastic 威胁和安全情报主管 Jake King 在给 Dark Reading 的一封电子邮件中表示，在过去一年中，针对 Mac 的威胁增加了不到 1%，并补充说：“虽然我们没有观察到表明企业针对 MacOS 的显着增长模式，但这可能归因于从此操作系统获取的遥测数据量较少。在日历年中，我们观察到几种利用漏洞的新方法，这些方法表明许多活动都存在对抗性兴趣。换句话说：数据可能表明攻击者或防御者对macOS缺乏兴趣。

如果像Atomic Stealer这样的失控成功确实激发了更多的黑客移动操作系统，那么由于安全社区多年来的不感兴趣，防御者将处于不利地位。

正如 Donohue 所解释的那样，“许多企业为工程师和管理员采用 macOS 系统，因此默认情况下，许多使用 macOS 机器的人要么拥有高特权，要么处理敏感信息。我怀疑的是，这些组织在macOS威胁方面的专业知识较少。

此外，还需要减少使用的工具，Donohue 补充道。“以EDR之类的东西为例。这些最初是作为保护 Windows 系统的工具，后来被选为保护 macOS 系统的工具。Windows 机器具有非常强大的应用程序控制策略，但 macOS Gatekeeper（大致类似于 Windows Defender）中没有真正类似的功能。它非常擅长查找恶意二进制文件并为它们创建YARA规则和签名，但许多恶意软件开发人员已经能够避开它。

Elastic 的 King 补充道，“默认操作系统控制虽然有效，但可能不会随着对抗行为的发展速度而发展。出于这个原因，King 说：“确保合理的访问权限、足够的强化控制以及允许组织观察或预防 macOS 系统上的威胁的工具仍然很重要。