Gefährliche Malware "Cthulhu Stealer" in Umlauf
Laut
Cado Security ist eine neue Malware in Umlauf, die es auf Apples Betriebssystem abgesehen hat. „Cthulhu Stealer“ soll bereits seit Ende 2023 aktiv sein. Besonders alarmierend ist, dass die Malware auf einschlägigen Cybercrime-Marktplätzen für lediglich 500 Dollar pro Monat angeboten wird. Der niedrige Preis macht eine Investition in die Software und das Ausspionieren von Macs für Kriminelle besonders lukrativ.
Verbreitung über gefälschte SoftwareDie Verbreitung von „Cthulhu Stealer“ erfolgt über manipulierte Apple-Disk-Images, die sich als beliebte Software tarnen, darunter „Grand Theft Auto IV“ oder „CleanMyMac“. Auch eine gefälschte Version des weitverbreiteten Tools „Adobe GenP“, das normalerweise verwendet wird, um Adobe-Programme ohne gültigen Lizenzschlüssel zu betreiben, gehört zu den Methoden, mit denen die Malware potenzielle Opfer anlockt. Das Programm ist in der Lage, sowohl Intel- als auch Apple-Silicon-basierte Macs anzugreifen, was seine potenzielle Reichweite erheblich erhöht.
Ziel: Zugangsdaten und KryptowährungenSobald die Malware auf dem System installiert ist, beginnt sie mit dem Sammeln sensibler Daten. Zu den bevorzugten Zielen gehören Systeminformationen, iCloud-Schlüsselbund-Passwörter, Browser-Cookies und sogar Zugangsdaten zu Telegram-Konten. Besonders bedenklich ist, dass die Schadsoftware auch Passwörter für Crypto-Wallets wie MetaMask abfragt. Die gesammelten Daten gehen anschließend an einen zentralen Steuerungsserver, wo sie für kriminelle Zwecke missbraucht werden können.
Verwandtschaft zu Atomic StealerEine genaue Analyse des "Cthulhu Stealer" hat gezeigt, dass es sich bei der Malware wahrscheinlich um eine Weiterentwicklung des
„Atomic Stealer“ handelt, einer früheren Malware-Variante, welche ähnliche Funktionen aufweist. Die Übereinstimmungen in der Programmierung, wie etwa identische Rechtschreibfehler in den Scripts, deuten stark darauf hin, dass die Entwickler den Code von Atomic Stealer als Grundlage verwendet haben.
Berichten zufolge wurde der Hauptentwickler auf einem bekannten Cybercrime-Marktplatz gesperrt, nachdem es dort zu Zahlungsstreitigkeiten und Betrugsvorwürfen gekommen war. Der Umstand könnte die Verbreitung und Wirksamkeit der Malware zumindest kurzfristig einschränken.