セキュリティ研究者らは、ユーザーの機密データを盗むために設計された新たなmacOSマルウェアを発見しました。「Cthulhu Stealer」と呼ばれるこのマルウェアは、人気アプリを装ってユーザーを標的とし、システムパスワード、iCloudキーチェーンのパスワード、暗号通貨ウォレットなどの情報を収集します。

Cthulhu Stealerマルウェアの脅威

Cthulhu Stealerは、2023年後半から、月額500ドルの有料サービスとして悪意のあるユーザー向けに提供されていると報告されています。正規のソフトウェアに巧妙に偽装するため、特に効果的です。

Ravie Lakshmanan 氏はThe Hacker Newsに次のように書いています。

偽装するソフトウェア プログラムには、CleanMyMac、Grand Theft Auto IV、Adobe GenP などがあり、Adobe GenP はオープンソース ツールで、Adobe アプリにパッチを適用して Creative Cloud サービスをバイパスし、シリアル キーなしでアプリをアクティブ化します。

明示的に実行を許可した（つまりGatekeeperの保護を回避した）後に未署名のファイルを起動したユーザーは、システムパスワードの入力を求められます…次のステップでは、MetaMaskパスワードを入力するための2番目のプロンプトが表示されます。Cthulhu Stealerは、Chainbreakerと呼ばれるオープンソースツールを使用してシステム情報を収集し、iCloudキーチェーンのパスワードをダンプするように設計されています。

盗まれたデータには、Web ブラウザの Cookie や Telegram アカウント情報も含まれており、圧縮されて ZIP アーカイブ ファイルに保存され、その後、コマンド アンド コントロール (C2) サーバーに送信されます。

Lakshmanan氏によると、Cthulhu Stealerの背後にいる脅威アクターはもはや活動していないとのことです。しかし、このソフトウェアは他の悪意のあるユーザーの手に渡れば、依然として同様の被害をもたらす可能性があります。

Macユーザーは、WindowsやLinuxシステムほどハッカーコミュニティからの攻撃を受けることは少ない。しかし、Cthulhu Stealerは、macOSが時折提供するセキュリティの安心感を悪用するように設計されているようだ。

多くのMacユーザーがGatekeeperの保護を日常的に回避するのは珍しいことではありません。AppleはmacOS Sequoiaでこの状況を変えようとしています。しかし、既知のアプリを装うことは、マルウェアがMacシステムに侵入し、ユーザーのデータを収集する効果的な手段となり得るという事実は変わりません。

このような脅威から身を守る方法の一つは、Mac App Storeや信頼できるサードパーティプラットフォームからアプリをダウンロードすることを優先することです。人気開発者の公式サイトも、一般的に安全なソフトウェア入手先です。

9to5Macの見解

Cthulhu Stealerや類似のソフトウェア脅威は、ユーザーがmacOSのセキュリティ機能を真剣に受け止めれば、被害を大幅に軽減できます。ですから、次にGatekeeperを回避してWebからダウンロードした新しいアプリを開きたくなったときは、そのアプリの出所を必ず確認してください。

Cthulhu Stealer の詳細については、Hacker News の記事全文を読むことをお勧めします。

Cthulhu Stealerやそれに類似したマルウェアに遭遇したことがありますか？セキュリティ対策のベストプラクティスは何ですか？コメント欄で教えてください。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。