FOCUS ON

Cthulhu Stealer: un malware per macOS e un criminale “disonesto”

03 Ottobre 2024
Cthulhu Stealer TS-Way cover

A rischio portachiavi, credenziali e wallet

Cthulhu Stealer è un Malware-as-a-Service che colpisce sistemi macOS mirando a credenziali e wallet di criptovaluta.

La minaccia è scritta in GoLang e si diffonde attraverso un file .dmg, camuffato da software legittimi come CleanMyMac, Grand Theft Auto IV e Adobe GenP. Gli analisti hanno riscontrato diverse somiglianze con il già noto Atomic Stealer, utilizzato anche dal gruppo UNC3944 (Scattered Spider), ed ipotizzano che Cthulhu ne sia una versione modificata.

Dopo l’apertura del file .dmg, Cthulhu Stealer abusa di osascript – lo strumento a riga di comando di macOS per l’esecuzione di AppleScript e JavaScript – con l’intento di sottrarre la password utente. In seguito, rileva i dati di sistema, le informazioni su hardware e software e li comunica al C&C.

Le altre informazioni che prende di mira comprendono le password del portachiavi, di Keychain e di SafeStorage, i cookie dei browser, le informazioni degli account Telegram Tdata e delle utenze Minecraft. Inoltre, è in grado di esfiltrare numerosi wallet, fra cui Coinbase, Wasabi, Dedalus, Binance, XDeFI e Trust. Infine, può compromettere cache e log data del gioco Battlenet.

Fra crimine e truffa

Lo stealer è commercializzato su due noti market undergound. L’utente “Cthulhu” (alias, Balaclavv), ha iniziato a pubblicizzarlo alla fine del 2023 e sarebbe divenuto operativo nei primi mesi del 2024. Per il suo utilizzo a noleggio vengono richiesti 500 dollari al mese. “Cthulhu Team”, che comprende sviluppatori e affiliati, utilizza i due market e un’applicazione di messaggistica russa sia per le comunicazioni interne e l’arbitrato, che per la pubblicità del malware.

Lo sviluppatore principale provvede a pagare una percentuale dei guadagni agli affiliati, in base alla loro quota di partecipazione. Tuttavia, il progetto si sarebbe rivelato infido nei confronti dei suoi stessi partecipanti. Molti di essi, infatti, hanno iniziato a lamentare mancati pagamenti. Il criminale Cthulhu, accusato di comportamenti truffaldini, sembra sia stato espulso dai market.

La lunga storia dei malware per Mac

La storia delle minacce per il sistema operativo Mac è iniziata almeno nel 1982, con il virus Elk Cloner, che colpiva macchine Apple II. Il quindicenne Rich Skrenta lo aveva progettato per gioco. La distribuzione avveniva tramite floppy disk e l’effetto somigliava molto a quello di un defacement. Al cinquantesimo riavvio, sullo schermo appariva una poesia che spiegava l’accaduto, Elk Cloner: The program with a personality…

Nei decenni successivi sono stati poi realizzati i virus MDEF e CDEF, che prendevano di mira applicazioni e file del sistema operativo Mac, i worm AutoStart multipiattaforma, il trojan Renepo/Opener e, infine, Leap-A (Oompa-Loompa), che si propagava attraverso iChat.

Una delle prime infezioni massive risale al 2012, ad opera del trojan Flashback. In quell’occasione, gli attaccanti sono riusciti a costituire una botnet Mac di oltre 600.000 macchine, compresi più di 270 bot localizzati proprio a Cupertino.

Negli anni seguenti sono stati tracciati spyware, trojan, adware, ransomware, miner e altro ancora, sfruttati da ogni tipologia di attaccante. Con il rilascio dei “system on a chip” M1 ed M2, ha fatto la comparsa sulla scena cyber criminale Silver Sparrow, che ha impattato circa 30.000 endpoint macOS basati sui nuovi processori, localizzati in 153 paesi.

A partire da gennaio di quest’anno sono emersi, fra gli altri, RustDoor e Cuckoo. La prima è una backdoor probabilmente collegata agli operatori ransomware ALPHV Team e Black Basta Team. Cuckoo, invece, opera come spyware e infostealer e consiste in un binario Mach-O universale che può essere eseguito su computer Mac basati su processori Intel ed ARM.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sui nostri servizi di Threat Intelligence