IT之家 8 月 23 日消息，尽管 MacOS 以安全著称，但近年来已经出现了多种针对该操作系统的恶意软件，例如 Silver Sparrow、KeRanger 和 Atomic Stealer 等。

Cado Security 网络安全研究人员现公布了一种新的 macOS 恶意软件，名为 Cthulhu Stealer，它能够同时针对 x86_64 和 Arm 架构的 MacOS 机型。

▲安装时的截图，图源：Cado Security

该软件基于 GoLang 编写，它会伪装成合法软件，例如垃圾清理工具“CleanMyMac”或者《侠盗猎车手 IV》，也有部分会伪装成 Adobe GenP（Adobe 破解工具）。

待用户安装 dmg 后，它就会提示用户打开。当用户打开该文件后，它就会借助 macOS 命令行工具 osa 提示用户输入密码。

▲密码提示

当用户输入密码后，它紧接着又会要求用户输入 MetaMask 密码。此外，Cthulhu Stealer 还会使用名为 Chainbreaker 的开源工具来收集系统信息并转储 iCloud Keychain 密码。

相比于这些密码，Cthulhu Stealer 最主要的目的还是从各种商店中窃取登录凭证，包括加密货币钱包、游戏账户等敏感信息。

它会在“/Users/ Shared / NW”中创建一个目录，将其凭据存储在文本文件中；包含被盗数据的 zip 压缩文件则存在于：/Users/ Shared / NW/[CountryCode] Cthulhu_Mac_OS_[date]_[time].zip。

▲MetaMask 的密码提示

此外，它还会向 C2 发送通知，以提醒其有新的日志。该恶意软件会对受害者的系统进行信息搜索、收集，例如 IP 地址（详细信息会从 ipinfo.io获取）、系统信息（包括系统名称、操作系统版本、硬件和软件信息）等等。

据IT之家所知，目前 Cthulhu Stealer 已确定会收集的信息包括：

• 浏览器 Cookie
• Coinbase 钱包
• Chrome 扩展钱包
• Telegram Tdata 账户信息
• 《我的世界》用户信息
• Wasabi 钱包
• MetaMask 钱包
• Keychain密码
• SafeStorage 密码
• 战网平台游戏、缓存和日志数据
• Firefox 的 Cookie
• Daedalus 钱包
• Electrum 钱包
• Atomic钱包
• Binanace 钱包
• Harmony 钱包
• Electrum 钱包
• Enjin 钱包
• Hoo 钱包
• Dapper 钱包
• Coinomi 钱包
• Trust 钱包
• Blockchain钱包
• XDeFI 钱包

对于此类软件，苹果本月早些时候宣布将为 macOS 提供更新，在用户尝试打开未签名或未经认证的软件时进行阻拦。

苹果表示：“在 macOS Sequoia 中，用户将无法在打开未正确签名或未经公证的软件时按住 Control 键来覆盖 Gatekeeper。”“他们需要访问系统设置 > 隐私和安全，在允许软件运行之前查看软件的安全信息。”