Cthulhu Stealer est le nom d’un malware sur Mac qui fait parler de lui et qui est assez dangereux. Il se fait passer pour des applications populaires afin de voler les données que vous stockez sur macOS.

Malware Cthulhu Stealer Mac

Le dangereux malware Cthulhu Stealer sur Mac

Comme l’expliquent les chercheurs en sécurité de Cato Security, le malware Cthulhu Stealer se fait notamment passer pour CleanMyMac, Grand Theft Auto IV et Adobe GenP, ce dernier étant un outil open source qui permet de pirater les applications d’Adobe (Photoshop, Premiere, etc).

Repéré pour la première fois fin 2023, le logiciel malveillant est conçu pour voler des informations sensibles sur les Mac infectés, telles que les mots de passe enregistrés dans le trousseau iCloud, les cookies des navigateurs Web et même les détails des comptes Telegram. Il peut également récupérer des données des portefeuilles stockant des cryptomonnaies.

Les utilisateurs qui ouvrent le fichier non signé après avoir explicitement autorisé son exécution — c’est-à-dire en contournant les protections de Gatekeeper — sont invités à saisir leur mot de passe système. À l’étape suivante, une deuxième invite est présentée pour saisir leur mot de passe MetaMask. Cthulhu Stealer est également conçu pour récolter des informations système et vider les mots de passe du trousseau iCloud à l’aide d’un outil open source appelé Chainbreaker.

Une fois toutes les données récoltées, le malware compresse les informations dans une archive ZIP et envoie le fichier sur un serveur. Le hacker a accès au serveur et n’a plus qu’à extraire l’archive pour accéder aux différentes données volées sur le Mac de la victime.

Le malware n’est plus maintenu, mais reste fonctionnel

Il se trouve que les hackers responsables de Cthulhu Stealer ne sont plus actifs. Cela s’explique par un conflit concernant des paiements et des accusations d’escroquerie à l’égard de leurs propres clients, c’est-à-dire d’autres cybercriminels qui utilisaient le logiciel malveillant.

Cependant, le logiciel malveillant fonctionne toujours. À son lancement en 2023, les hackers pouvaient payer 500 dollars par mois afin d’y avoir accès et piéger de nombreux utilisateurs.

Il n’est pas rare que de nombreux utilisateurs de Mac contournent régulièrement les protections de Gatekeeper. Apple tente d’y remédier avec macOS Sequoia en modifiant le comportement. Il n’en reste pas moins que se faire passer pour des applications connues peut être un moyen efficace pour les logiciels malveillants d’infiltrer les systèmes Mac et de collecter les données des utilisateurs.