Investigadores de ciberseguridad han descubierto un nuevo malware diseñado para atacar a los hosts de macOS de Apple y recopilar todos los datos de los usuarios, lo que subraya cómo los actores de amenazas están poniendo cada vez más sus miras en este sistema operativo.

Cthulhu Stealer: El nuevo malware de MacOs

Cthulhu Stealer es un tipo de programa malicioso (malware) que se ha estado vendiendo como un servicio (Malware as a Service, MaaS). Por 500 dólares al mes, cualquiera puede pagar para usarlo. Se lanzó a finales de 2023 y puede atacar computadoras con dos tipos de arquitectura diferentes. Una de ellas es la x86_64 (usada en muchas PCs), y la otra es Arm (común en dispositivos como algunos teléfonos y computadoras Mac más recientes).

Está escrito en el lenguaje de programación Golang y se presenta como si fuera un programa legítimo, aunque en realidad es malicioso. Algunos de los programas de software que suplanta son CleanMyMac, Grand Theft Auto IV y Adobe GenP, el último de los cuales es una herramienta de código abierto que parchea las aplicaciones de Adobe para eludir el servicio Creative Cloud y activarlas sin clave de serie.

A los usuarios que acaban iniciando el archivo sin firmar después de permitir explícitamente su ejecución -es decir, saltándose las protecciones de Gatekeeper- se les pide que introduzcan su contraseña del sistema, una técnica basada en osascript que ha sido adoptada por Atomic Stealer, Cuckoo, MacStealer y Banshee Stealer.

En el siguiente paso, se les pide que introduzcan su contraseña MetaMask. Cthulhu Stealer también está diseñado para recopilar información del sistema y volcar las contraseñas del llavero de iCloud utilizando una herramienta de código abierto llamada Chainbreaker.

Los datos robados, que también incluyen cookies del navegador web e información de la cuenta de Telegram, se comprimen y almacenan en un archivo ZIP, tras lo cual se filtran a un servidor de mando y control (C2).

La principal funcionalidad de Cthulhu Stealer es robar credenciales y carteras de criptomonedas de varias tiendas, incluidas cuentas de juegos.

La ciberdelincuencia se extiende en los usuarios de Apple

La funcionalidad y las características de Cthulhu Stealer son muy similares a las de Atomic Stealer. Podría ser una posible pista de que el desarrollador de Cthulhu Stealer probablemente tomó Atomic Stealer y modificó el código. El uso de osascript para pedir al usuario su contraseña es similar en Atomic Stealer y Cthulhu, incluso incluye las mismas faltas de ortografía.

Se dice que los actores de la amenaza que estaban detrás del malware ya no están activos. En parte debido a disputas sobre los pagos que han llevado a acusaciones de estafa de salida por parte de los afiliados, lo que ha provocado que el desarrollador principal haya sido expulsado permanentemente de un mercado de ciberdelincuentes utilizado para publicitar el stealer.

Cthulhu Stealer no es especialmente sofisticado y carece de técnicas antianálisis que le permitan operar de forma sigilosa. También carece de cualquier característica destacada que lo distinga de otras ofertas similares en la clandestinidad.

Es cierto que las amenazas para macOS son mucho menos frecuentes que para Windows y Linux. Sin embargo también se recomienda a los usuarios que descarguen software sólo de fuentes fiables. Además de que eviten instalar aplicaciones no verificadas, y que mantengan sus sistemas al día con las últimas actualizaciones de seguridad.

El aumento del malware para macOS no ha pasado desapercibido para Apple. A principios de este mes la companía anunció una actualización de su próxima versión del sistema operativo. Su objetivo es añadir más fricción al intentar abrir software que no esté firmado correctamente o notarizado.

En macOS Sequoia, los usuarios ya no podrán hacer Control-clic para anular Gatekeeper al abrir software que no esté firmado correctamente o notariado, dijo Apple. Tendrán que visitar Ajustes del Sistema > Privacidad y Seguridad para revisar la información de seguridad del software antes de permitir su ejecución.