克苏鲁窃取者：对 macOS 用户的威胁日益严重

克苏鲁窃取者：它是什么以及它是如何工作的

MacOS 用户现在面临着一个强大的对手：Cthulhu Stealer。这种被发现的信息窃取恶意软件已迅速成为一种重大威胁，专门针对 Apple 的 macOS 操作系统。与许多前辈不同，Cthulhu Stealer 不仅仅是一种普通的病毒；它代表了网络犯罪分子将注意力转向 macOS 的一种日益增长的趋势，利用了许多用户对该平台的虚假安全感。

Cthulhu Stealer 是一种隐蔽工具，旨在从受感染的系统中收集各种敏感信息。该恶意软件以 Go 编程语言 (Golang) 编写，以恶意软件即服务 (MaaS) 模式分发，网络犯罪分子只需支付月费即可访问。这意味着即使是相对缺乏经验的黑客也可以对毫无戒心的受害者部署 Cthulhu Stealer，从而增强其潜在影响。

Cthulhu Stealer 如何入侵 macOS 系统

Cthulhu Stealer 会伪装成合法软件，通常会伪装成 CleanMyMac、Grand Theft Auto IV 或 Adobe GenP 等热门应用程序。这些都是知名程序；许多用户在下载它们之前可能毫不犹豫。然而，一旦用户明确允许软件运行，绕过 Apple 的 Gatekeeper 保护，他们就会在不知不觉中打开 Cthulhu Stealer 的大门。

该恶意软件捆绑在 Apple 磁盘映像 (DMG) 中，其中包含两个针对不同架构（x86_64 和 Arm）定制的二进制文件。一旦启动，该恶意软件就会使用一系列提示来诱骗用户提供其系统和 MetaMask 密码。这种利用 osascript 的技术之前已被其他针对 macOS 的恶意软件（如 Atomic Stealer 和 MacStealer）使用，这表明 Cthulhu Stealer 可能与这些较老的威胁共享代码或灵感。

克苏鲁窃取者想要什么：它寻求的数据

Cthulhu Stealer 的主要目标是从受感染的系统中收集和窃取有价值的数据。这包括系统信息、网络浏览器 cookie、Telegram 帐户详细信息、iCloud Keychain 密码，甚至加密货币钱包。该恶意软件能够针对如此广泛的敏感信息，使其成为网络犯罪分子手中的多功能工具。

收集到数据后，会将其压缩为 ZIP 存档并发送到攻击者操作的命令与控制 (C2) 服务器。然后，这些数据可用于各种恶意目的，从身份盗窃到金融欺诈，甚至在暗网市场上出售。Cthulhu Stealer 可以收集的数据的多功能性凸显了针对 macOS 的威胁日益复杂化。

克苏鲁窃取者为何如此重要：宏观视角

Cthulhu Stealer 是 macOS 日益成为网络犯罪分子目标这一大趋势的一部分。从历史上看，macOS 一直被认为是比 Windows 或 Linux 更安全的平台，这导致许多用户放松了警惕。然而，Cthulhu Stealer 等恶意软件的出现挑战了这种看法，提醒用户没有哪个系统能够免受网络威胁。

有趣的是，尽管 Cthulhu Stealer 具有潜在的危害，但它并不被认为是特别复杂的。它缺乏先进的反分析功能，因此无法被网络安全工具检测到。再加上它依赖 Chainbreaker 等开源工具来转储钥匙串密码，这表明 Cthulhu Stealer 更像是现有恶意软件的改版，而不是突破性的创新。这让网络安全专业人员更容易检测和分析，但也表明随着攻击者改进方法，威胁可能会不断演变。

克苏鲁窃取者开发者的兴衰

Cthulhu Stealer 的故事也是网络犯罪分子内部冲突的故事之一。该恶意软件最初通过订阅模式提供，开发人员每月收取 500 美元的访问费用。然而，付款纠纷和“退出骗局”指控导致主要开发者被禁止进入流行的网络犯罪市场。事态的发展使人们对 Cthulhu Stealer 的未来产生了怀疑，但这并没有减少它对 macOS 用户构成的直接威胁。

在不断变化的环境中保持安全

随着网络安全形势的不断发展，macOS 用户的警惕性也必须不断提高。Cthulhu Stealer 的崛起清楚地提醒我们，即使是传统上被视为安全的系统也并非不受攻击。建议用户在下载软件时要小心谨慎，确保只安装来自可信来源的应用程序，并随时了解 Apple 提供的最新安全更新。通过保持知情和警惕，用户可以保护自己免受 Cthulhu Stealer 等针对 macOS 的威胁日益增多的侵害。