Malware as a Service: Cthulhu Stealer klaut macOS-Schlüsselbund und mehr
So tun, als sei man "GTA VI" – und dann Daten abgreifen: Kriminelle verkaufen eine neue Mac-Malware an andere Ganoven. Zum Glück ist sie leicht stoppbar.
Nein, das ist nicht "GTA VI": Cthulhu Stealer auf einem Mac.
(Bild: Cado Security)
Derzeit kursiert ein neuer macOS-Datenschädling, den Ganoven offenbar als sogenannte Malware-as-a-Service (MaaS) gegen eine Monatsgebühr in einschlägigen Foren vertreiben. Wie das Sicherheitsunternehmen Cado schreibt, wurde dem Datenschädling der Name "Cthulhu Stealer" gegeben. Die Malware ist dabei darauf ausgelegt, wichtige Daten vom Mac zu entwenden.
Tut so, als sei es eine beliebte App
Der neue Stealer kursiert in Form unterschiedlicher Apps, die Nutzer zum Klicken verlocken sollen – darunter eine angebliche Preview von GTA VI (die lustigerweise mit falschem Dateinamen als "GTAIV_EarlyAccess_MACOS_Release.dmg" vertrieben wird), ein Adobe-Creative-Cloud-Raubkopierwerkzeug oder eine Kopie des beliebten Aufräumwerkzeugs CleanMyMac. Weitere kursierende Dateinamen sind laut Cado Security generische Bezeichnungen wie "Launch.dmg" oder "Setup2024.dmg".
Der Cthulhu Stealer soll in unterschiedlichen Varianten und mit unterschiedlichen Namen bereits seit 2023 kursieren und wird als MaaS regelmäßig für die "Kunden" aktualisiert. Die Preise sollen bei rund 500 US-Dollar im Monat liegen, offeriert durch verschiedene Foren im Dark Web. Die Malware ist für Apple-Silicon- wie Intel-Macs geeignet. Sie kann Daten aus dem (iCloud-)Schlüsselbund, Browser-Passwörter samt Surfgeschichte, diverse Krypto-Wallets, Telegram-Account-Daten und mehr abgreifen und an ihre Betreiber versenden. Cado Security hat gut zwei Dutzend Datenquellen entdeckt, derer sich der Stealer bedienen kann, sofern er den Mac infiltriert hat.
Installation mit vielen Schritten
Immerhin ist der Installationsprozess der Malware noch recht rumpelig. So werden Nutzer dazu angehalten, die App mittels Rechtsklick auf "Öffnen" zu starten, was wiederum einen macOS-Warndialog hervorruft, weil die Malware nicht über eine Apple-Signatur verfügt. Mit macOS 15 soll es schwerer werden, unsignierte Apps zu öffnen. Schließlich fordert der Cthulhu Stealer Nutzer außerdem dazu auf, die "Systemeinstellungen zu aktualisieren".
Dazu müsse ein Admin-Passwort eingegeben werden. Auch dieser Dialog sieht eher generisch aus. Die Malware ist laut Coda Security in GoLang geschrieben, bedient sich zudem dem Kommandozeilenwerkzeug osascript zum Ausführen von AppleScript-Code. Weiterhin wird – falls vorhanden – ein MetaMask-Passwort abgefragt. Fazit: Cthulhu Stealer scheint sich eher an unbedarfte User zu richten. Nutzer sollten darauf achten, keine Software aus dubioser Quelle auszuführen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
