Une découverte récente par Cado Security remet en question la croyance selon laquelle les systèmes macOS sont à l'abri des malwares. Le Cthulhu Stealer, un malware-as-a-service (MaaS), cible spécifiquement les utilisateurs de macOS, exploitant leur confiance dans des applications réputées.
Ce malware se fait passer pour des applications légitimes telles que CleanMyMac, Adobe GenP, ou encore un prétendu accès anticipé à « Grand Theft Auto VI ». Une fois l'application malveillante installée, elle demande les mots de passe système et MetaMask à l'utilisateur, les utilisant pour extraire les informations depuis le trousseau de clés macOS.
Après l'acquisition des identifiants, Cthulhu Stealer utilise l'outil osascript pour récupérer les mots de passe stockés, notamment ceux liés à des portefeuilles crypto comme MetaMask, Coinbase et Binance. Les données volées, classées dans une archive zip identifiée par le code pays de l'utilisateur et l'heure de l'attaque, sont ensuite envoyées à un serveur de commande et de contrôle (C2).
Le Cthulhu Stealer ne se contente pas de voler les informations des crypto-portefeuilles. Il s'attaque également aux extensions de Chrome, aux données des utilisateurs de Minecraft, ainsi qu'aux mots de passe de diverses plateformes comme Wasabi, Daedalus, et Electrum. Il collecte aussi des informations sur le système de l'utilisateur, comme l'adresse IP, le nom du système et la version du système d'exploitation, permettant aux attaquants d'ajuster leurs stratégies en temps réel.
Les cybercriminels à l'origine de ce malware, surnommés « Cthulhu Team », louent leur service pour 500 $/mois. Sur les réseaux sociaux, ils se font parfois passer pour des employeurs offrant des emplois nécessitant le téléchargement rapide d'un logiciel pour suivre les heures de travail, piégeant ainsi les victimes.
Ces développeurs et affiliés gèrent leurs opérations via Telegram, où ils organisent la vente et la distribution du malware. Selon Cado Security, le Cthulhu Stealer est également vendu sur deux marketplaces bien connues dédiées aux malwares, où les vendeurs et acheteurs peuvent échanger, négocier et promouvoir leurs services.
Pour se protéger, les utilisateurs de macOS doivent installer des logiciels antivirus réputés, spécialement conçus pour macOS, et se méfier des offres d'emploi qui demandent le téléchargement de logiciels en urgence. La mise à jour régulière des logiciels réduit également les risques d'infection par des malwares.
Un porte-parole de CertiK a partagé des conseils pour renforcer la sécurité : « Il est essentiel de télécharger les logiciels uniquement depuis le site officiel ou l'App Store de macOS. Si le logiciel n'est pas téléchargé depuis l'App Store, il faut vérifier la valeur du hash du fichier pour s'assurer qu'elle correspond à celle fournie par le site officiel. »
