Malware 'Cthulhu Stealer' mira roubo de senhas e criptomoedas no macOS

Um novo malware vendido como serviço tenta roubar informações de usuários do macOS. Batizado como "Cthulhu Stealer", o app malicioso toma forma de uma imagem de disco Apple (DMG, na sigla em inglês) e é distribuído disfarçado como um programa legítimo.

Conforme explica a pesquisadora Tara Gould, da Cado Security, o Cthulhu Stealer é vendido como um malware-as-a-service (MaaS), um "malware como serviço", custando US$ 500 (R$ 2.750, em conversão direta). Em alguns casos, ele toma foca do app CleanMyMac, Adobe GenP (uma espécie de "cracker" para apps da Adobe) e até do game Grand Theft Auto IV.

• Veja mais: Usuários macOS são alvos de malware que simula PDF legítimo

"A principal funcionalidade do Cthulhu Stealer é roubar credenciais e carteiras de criptomoeda de várias plataformas, incluindo contas de games", pontuou a pesquisadora.

A primeira coisa que o Cthulhu Stealer faz é solicitar a senha de login do macOS

Obviamente, o sistema suspeita da origem do aplicativo. Contudo, o usuário tende a autorizar a execução do programa. Depois disso, o malware solicita a inserção da senha do sistema, recolhendo a credencial.

Uma vez instalado, o aplicativo pede pela senha da carteira MetaMask associada ao computador. Não satisfeito, o Cthulhu Stealer também recolhe dados do iCloud.

Todos os dados recolhidos são comprimidos e guardados em um arquivo ZIP, logo enviados para um servidor externo, concretizando o furto de informações.

Malwares para macOS existem

A existência desse vírus comprova que, embora malwares sejam mais comuns no Windows e no Linux, o macOS não está livre desse perigo. A Apple já sabe que a ameaça circula por aí e prepara uma correção para uma futura atualização.

• Confira: Criminosos aproveitam apagão cibernético para distribuir malware

De toda forma, os pesquisadores responsáveis pela descoberta do Cthulhu Stealer mencionam que o malware não é tão refinado e não consegue operar de forma discreta.

Felizmente para os usuários, os criminosos por trás do malware não estão mais ativos — ironicamente, por não cumprir devidamente com as assinaturas. O principal desenvolvedor do vírus foi banido permanentemente da loja usada para distribuir o app.