Macユーザー狙う新しいマルウェア発見、開発者はすでに永久追放

画像提供：マイナビニュース

Cado Securityは8月22日(英国時間)、「From the Depths: Analyzing the Cthulhu Stealer Malware for macOS」において、macOSユーザーを標的にする新しい情報窃取マルウェア「Cthulhu Stealer」を発見したと伝えた。Cthulhu Stealerは「Cthulhu Team(別名：BALACLAVV)」を名乗る開発者からマルウェア・アズ・ア・サービス(MaaS: Malware-as-a-Service)として販売されたが、脅威アクターへの支払いが滞ったとしてマーケットプレイスから永久追放されたという。

○侵害経路

Cado Securityの調査によると、Cthulhu Stealerは次の正規アプリに偽装したディスクイメージとして配布されるという。

CleanMyMac
Grand Theft Auto IV
Adobe GenP

ディスクイメージをダウンロードしてマウントすると、右クリックメニューの「開く(Open)」からアプリを起動するように要求される。この手順は、macOSのセキュリティ機能「Gatekeeper」を回避するために使用される。

アプリを起動すると、システム設定の更新が必要としてパスワードの入力を求められる。パスワードを入力すると、続けてウォレット「MetaMask」のパスワード入力を求められる。

MetaMaskのパスワード入力を完了すると、次の情報を収集してコマンド＆コントロール(C2: Command and Control)サーバに送信する。

システム情報
ネットワーク情報
WebブラウザのCookie
主要なウォレットの情報
Telegramの認証情報
Minecraftのユーザー情報
Keychainパスワード
SafeStorageの認証情報
Battlenetゲームのキャッシュとログ

○分析結果

Cthulhu Stealerからは、情報窃取マルウェア「Atomic Stealer」と非常によく似た機能と特徴が発見されている。同じスペルミスも発見されていることから、Atomic Stealerの改造品ではないかと推測されている。

Atomic Stealerは月額1,000ドルで販売されているが、Cthulhu Stealerはその半額とされる。Cthulhu Stealerの購入者はその成績に応じて収益の一部を受け取れる仕組みになっており、2つのマルウェアマーケットプレイスから販売されたことが確認されている。