Cado Securityは8月22日(英国時間)、「From the Depths: Analyzing the Cthulhu Stealer Malware for macOS」において、macOSユーザーを標的にする新しい情報窃取マルウェア「Cthulhu Stealer」を発見したと伝えた。Cthulhu Stealerは「Cthulhu Team(別名:BALACLAVV)」を名乗る開発者からマルウェア・アズ・ア・サービス(MaaS: Malware-as-a-Service)として販売されたが、脅威アクターへの支払いが滞ったとしてマーケットプレイスから永久追放されたという。

  • From the Depths: Analyzing the Cthulhu Stealer Malware for macOS

    From the Depths: Analyzing the Cthulhu Stealer Malware for macOS

侵害経路

Cado Securityの調査によると、Cthulhu Stealerは次の正規アプリに偽装したディスクイメージとして配布されるという。

  • CleanMyMac
  • Grand Theft Auto IV
  • Adobe GenP

ディスクイメージをダウンロードしてマウントすると、右クリックメニューの「開く(Open)」からアプリを起動するように要求される。この手順は、macOSのセキュリティ機能「Gatekeeper」を回避するために使用される。

  • Gatekeeperを回避するためにメニューから起動を要求する画面 - 引用:Cado Security

    Gatekeeperを回避するためにメニューから起動を要求する画面 引用:Cado Security

アプリを起動すると、システム設定の更新が必要としてパスワードの入力を求められる。パスワードを入力すると、続けてウォレット「MetaMask」のパスワード入力を求められる。

MetaMaskのパスワード入力を完了すると、次の情報を収集してコマンド&コントロール(C2: Command and Control)サーバに送信する。

  • システム情報
  • ネットワーク情報
  • WebブラウザのCookie
  • 主要なウォレットの情報
  • Telegramの認証情報
  • Minecraftのユーザー情報
  • Keychainパスワード
  • SafeStorageの認証情報
  • Battlenetゲームのキャッシュとログ

分析結果

Cthulhu Stealerからは、情報窃取マルウェア「Atomic Stealer」と非常によく似た機能と特徴が発見されている。同じスペルミスも発見されていることから、Atomic Stealerの改造品ではないかと推測されている。

Atomic Stealerは月額1,000ドルで販売されているが、Cthulhu Stealerはその半額とされる。Cthulhu Stealerの購入者はその成績に応じて収益の一部を受け取れる仕組みになっており、2つのマルウェアマーケットプレイスから販売されたことが確認されている。

しかしながら、複数の脅威アクターが支払いを受け取れないとしてマーケットプレイスに苦情を申し立て、Cthulhu Teamを詐欺師と非難したという。その結果、Cthulhu Teamはマーケットプレイスから永久追放されている。

  • 苦情の申し立ての例 - 引用:Cado Security

    苦情の申し立ての例 引用:Cado Security

対策

こうした攻撃を回避するため、macOSユーザーには次のような対策の実施が推奨されている。

  • ソフトウェアはAppleストアまたは公式サイトからのみダウンロードする
  • Gatekeeperを回避する起動方法を理解し、Gatekeeperを回避しない
  • すべてのソフトウェアを常に最新の状態に維持する
  • 信頼できるアンチウイルスソフトウェアを導入する

Cado SecurityはmacOSの安全神話は崩壊したとして、macOSユーザーに最新のセキュリティ情報を継続的に収集し、必要な防衛策を実施し続けることを推奨している。また、調査過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。