Nos últimos anos, os usuários de macOS têm desfrutado de uma sensação de segurança contra malwares, alimentada pela crença de que o sistema da Apple é menos visado por cibercriminosos.
No entanto, essa percepção está mudando à medida que novas ameaças emergem.
Uma delas é o Cthulhu Stealer, um malware que vem ganhando destaque ao roubar carteiras de criptomoedas e dados sensíveis de usuários do macOS.
O que é o Cthulhu Stealer?
O Cthulhu Stealer é um malware identificado recentemente por pesquisadores de segurança da Cado Security.
Ele faz parte de uma tendência crescente de malware como serviço (MaaS), onde criminosos oferecem ferramentas maliciosas prontas para serem usadas por quem deseja realizar ataques, sem exigir grandes conhecimentos técnicos.
O malware tem como alvo específico os usuários de macOS e foi desenhado para roubar carteiras de criptomoedas, dados de credenciais e informações armazenadas em navegadores.
Como o malware é distribuído?
O Cthulhu Stealer é distribuído como um arquivo DMG (Apple Disk Image), que se disfarça como software legítimo para enganar os usuários.
Exemplos de programas falsificados incluem o CleanMyMac, o famoso jogo Grand Theft Auto IV, e até o Adobe GenP, conforme relatado no estudo da Cado Security.
Uma vez que o arquivo malicioso é baixado e executado, ele solicita ao usuário as credenciais do sistema e informações da MetaMask, uma carteira de criptomoedas amplamente utilizada.
Funcionamento do cthulhu stealer
O malware foi desenvolvido em GoLang e é compatível tanto com as arquiteturas x86_64 quanto ARM, abrangendo assim uma vasta gama de dispositivos macOS, incluindo os mais recentes modelos com chips Apple Silicon.
Após a execução, ele usa um script osascript para solicitar as credenciais do usuário e da MetaMask.
A partir daí, o malware cria um diretório no caminho /Users/Shared/NW
para armazenar as informações roubadas.
Seu objetivo principal é extrair dados de criptomoedas de várias fontes, incluindo carteiras digitais, cookies de navegadores, contas de jogos e outros arquivos que contenham informações valiosas.
Esse tipo de ataque é particularmente prejudicial para os usuários de criptomoedas, pois, uma vez que as carteiras são comprometidas, os fundos podem ser transferidos sem deixar muitos rastros, dificultando a recuperação.
Semelhanças com o atomic stealer
O Cthulhu Stealer tem muitas características em comum com outro malware já conhecido, o Atomic Stealer, que foi identificado em 2023.
Ambos foram escritos na linguagem Go e têm como alvo usuários de macOS, com foco no roubo de carteiras de criptomoedas e credenciais de navegação.
As similaridades levantam a hipótese de que o Cthulhu Stealer seja uma versão modificada do Atomic Stealer, mostrando que a técnica de reutilização de código está sendo usada de forma ativa entre grupos cibercriminosos.
O modelo malware como serviço (MaaS)
O Cthulhu Stealer é oferecido como parte de um modelo de malware como serviço, onde criminosos podem alugar o malware por US$ 500 mensais.
O grupo por trás desse esquema, conhecido como Cthulhu Team, usa o Telegram como meio de comunicação com seus clientes, que são responsáveis por implantar o malware e compartilhar uma porcentagem dos lucros obtidos.
O MaaS é uma tendência crescente no mundo do cibercrime, pois permite que pessoas sem conhecimentos técnicos avançados conduzam ataques cibernéticos usando ferramentas e infraestruturas já preparadas.
Esse modelo é comparável ao software como serviço (SaaS), onde provedores oferecem suporte ao cliente, atualizações e até customizações, criando uma operação profissionalizada no submundo do cibercrime.
Problemas internos no grupo criminoso
Apesar de o Cthulhu Stealer ser uma ameaça ativa, nem tudo vai bem para seus desenvolvedores.
O Cthulhu Team enfrenta problemas internos, com afiliados acusando o principal desenvolvedor, conhecido como Cthulhu ou Balaclavv, de reter os pagamentos de seus parceiros.
Esses conflitos levaram ao banimento do desenvolvedor em pelo menos um marketplace de malwares, de acordo com o relatório da Cado Security.
Como se proteger do Cthulhu Stealer
Diante dessa nova ameaça, os usuários de macOS devem estar mais atentos a práticas de segurança cibernética.
Aqui estão algumas dicas para se proteger do Cthulhu Stealer e outros malwares semelhantes:
- Evite baixar software de fontes não confiáveis: sempre utilize sites oficiais ou lojas de aplicativos reconhecidas.
- Verifique as permissões solicitadas por aplicativos: um aplicativo que solicita muitas permissões, como o acesso a carteiras de criptomoedas ou arquivos confidenciais, deve ser tratado com suspeita.
- Use autenticação de dois fatores (2FA): isso adiciona uma camada extra de segurança a suas contas e carteiras digitais.
- Mantenha backups regulares de suas chaves privadas: caso sua carteira seja comprometida, um backup pode ajudar a recuperar seus fundos.
- Atualize seu sistema operacional e softwares regularmente: muitos malwares se aproveitam de vulnerabilidades em versões desatualizadas de sistemas e aplicativos.
Conclusão
O Cthulhu Stealer é mais um exemplo de como os ataques direcionados a usuários de macOS estão se tornando cada vez mais comuns, especialmente no contexto de criptomoedas.
Esse malware destaca a necessidade de práticas de segurança reforçadas, já que mesmo sistemas considerados seguros, como o da Apple, não estão imunes a ameaças.
Ao seguir medidas preventivas e manter-se informado sobre os novos tipos de ataques, os usuários podem minimizar os riscos e proteger suas informações valiosas.
Se você já teve contato com um software suspeito ou foi vítima desse tipo de malware, compartilhe sua experiência nos comentários. 😉👍