IT 之家 8 月 23 日消息，尽管 MacOS 以安全著称，但近年来已经出现了多种针对该操作系统的恶意软件，例如 Silver Sparrow、KeRanger 和 Atomic Stealer 等。

Cado Security 网络安全研究人员现公布了一种新的 macOS 恶意软件，名为 Cthulhu Stealer，它能够同时针对 x86_64 和 Arm 架构的 MacOS 机型。

▲   安装时的截图，图源：Cado Security

该软件基于 GoLang 编写，它会伪装成合法软件，例如垃圾清理工具 "CleanMyMac" 或者《侠盗猎车手 IV》，也有部分会伪装成 Adobe GenP（Adobe 破解工具）。

待用户安装 dmg 后，它就会提示用户打开。当用户打开该文件后，它就会借助 macOS 命令行工具 osascript 提示用户输入密码。

▲   密码提示  

当用户输入密码后，它紧接着又会要求用户输入 MetaMask 密码。此外，Cthulhu Stealer 还会使用名为 Chainbreaker 的开源工具来收集系统信息并转储 iCloud Keychain 密码。

相比于这些密码，Cthulhu Stealer 最主要的目的还是从各种商店中窃取登录凭证，包括加密货币钱包、游戏账户等敏感信息。

它会在 "/Users/ Shared / NW" 中创建一个目录，将其凭据存储在文本文件中；包含被盗数据的 zip 压缩文件则存在于：/Users/ Shared / NW/ [ CountryCode ] Cthulhu_Mac_OS_ [ date ] _ [ time ] .zip。

▲   MetaMask 的密码提示

此外，它还会向 C2 发送通知，以提醒其有新的日志。该恶意软件会对受害者的系统进行信息搜索、收集，例如 IP 地址（详细信息会从 ipinfo.io 获取）、系统信息（包括系统名称、操作系统版本、硬件和软件信息）等等。

据 IT 之家所知，目前 Cthulhu Stealer 已确定会收集的信息包括：

浏览器 Cookie

Coinbase 钱包

Chrome 扩展钱包

Telegram Tdata 账户信息

《我的世界》用户信息

Wasabi 钱包

MetaMask 钱包

Keychain   密码

SafeStorage 密码

战网平台游戏、缓存和日志数据

Firefox 的 Cookie

Daedalus 钱包

Electrum 钱包

Atomic   钱包

Binanace 钱包

Harmony 钱包

Enjin 钱包

Hoo 钱包

Dapper 钱包

Coinomi 钱包

Trust 钱包

Blockchain   钱包

XDeFI 钱包

对于此类软件，苹果本月早些时候宣布将为 macOS 提供更新，在用户尝试打开未签名或未经认证的软件时进行阻拦。

苹果表示：" 在 macOS Sequoia 中，用户将无法在打开未正确签名或未经公证的软件时按住 Control 键来覆盖 Gatekeeper。"" 他们需要访问系统设置 > 隐私和安全，在允许软件运行之前查看软件的安全信息。"