Nieuwe malware ‘Cthulhu Stealer’ bedreigt Apple Mac-gebruikers

Mac-gebruikers worden gewaarschuwd voor een nieuwe vorm van malware genaamd ‘Cthulhu Stealer’. Deze malware is gericht op het stelen van persoonlijke gegevens en het aanvallen van cryptowallets.

Geloof dat macOS-systemen immuun zou zijn is onterecht

Volgens cybersecuritybedrijf Cado Security, dat deze malware op 22 augustus onthulde, is er jarenlang een wijdverbreid geloof geweest dat macOS-systemen immuun zouden zijn voor malware. Hoewel macOS bekend staat om zijn veiligheid, is er de afgelopen jaren een toename te zien in het aantal malware-aanvallen op dit besturingssysteem.

‘Cthulhu Stealer’ vermomt zich als een legitiem Apple-schijfkopiebestand (DMG) en doet zich voor als populaire software zoals CleanMyMac en Adobe GenP. Zodra gebruikers dit bestand openen, wordt een macOS-opdrachtregeltool geactiveerd die hen vraagt om hun wachtwoord in te voeren. Na het invoeren van het wachtwoord verschijnt een tweede prompt waarin wordt gevraagd naar het wachtwoord van de Ethereum-wallet MetaMask. De malware richt zich daarnaast op andere bekende cryptowallets zoals Coinbase, Wasabi, Electrum, Atomic, Binance en Blockchain Wallet.

De gestolen gegevens worden opgeslagen in tekstbestanden, waarna de malware een vingerafdruk van het systeem maakt om verdere informatie te verzamelen, zoals het IP-adres en de versie van het besturingssysteem.

Belangrijkste functionaliteit is stelen van crypto-wallets inloggegevens

Tara Gould, onderzoeker bij Cado, licht toe dat de belangrijkste functionaliteit van ‘Cthulhu Stealer’ het stelen van inloggegevens en cryptocurrency-wallets is, inclusief accounts van gamingplatforms. De malware vertoont sterke overeenkomsten met ‘Atomic Stealer’, een andere schadelijke software die in 2023 werd geïdentificeerd en eveneens gericht was op Apple-systemen. Gould suggereert dat de ontwikkelaar van ‘Cthulhu Stealer’ mogelijk de code van ‘Atomic Stealer’ heeft aangepast om deze nieuwe dreiging te creëren.

‘Cthulhu Stealer’ werd voor ongeveer €460 per maand verhuurd aan affiliates via het Telegram-berichtenplatform, waarbij de hoofdontwikkelaar de opbrengsten van succesvolle aanvallen deelde. Recent zijn de oplichters achter deze malware echter niet meer actief, na interne conflicten over betalingen die hebben geleid tot beschuldigingen van een exit-scam.

Toenemende dreiging is erkend

Apple heeft inmiddels de toenemende dreiging van malware voor zijn besturingssystemen erkend. Op 6 augustus kondigde het technologiebedrijf een update aan voor de volgende versie van macOS, die het moeilijker moet maken om de Gatekeeper-beveiliging te omzeilen. Deze beveiliging zorgt ervoor dat alleen vertrouwde applicaties op het systeem kunnen worden uitgevoerd.

In mei reageerde Telegram op zorgen over een exploit waarmee onderzoekers toegang konden krijgen tot macOS-camerasystemen. Het platform bagatelliseerde de ernst van de situatie door te stellen dat het meer te maken had met Apple’s beveiligingsinstellingen dan met het berichtenplatform zelf.