Une nouvelle menace cyber secoue la communauté macOS : le Cthulhu Stealer, un malware insidieux qui s’infiltre dans les systèmes en se déguisant habilement en fichiers populaires, dont des versions piratées de Grand Theft Auto VI. Ce logiciel malveillant exploite des vulnérabilités spécifiques à macOS pour extraire des données critiques, prenant pour cible les utilisateurs de cette plateforme avec une efficacité alarmante.

Zoom sur la menace Cthulhu Stealer

Le Cthulhu Stealer, identifié fin 2023, est un malware ciblant les utilisateurs macOS, capable de dérober des informations sensibles, notamment les mots de passe iCloud, les cookies de navigateur, les comptes Telegram, et les portefeuilles de cryptomonnaies. Déguisé en fichiers légitimes comme des jeux populaires (ex. GTA VI) ou des logiciels (CleanMyMac, Adobe GenP), ce cheval de Troie incite l’utilisateur à saisir son mot de passe système via une technique utilisant osascript, une méthode scriptée sur macOS pour automatiser des tâches, souvent utilisée par les logiciels légitimes mais ici détournée à des fins malveillantes.

Quelques chiffres alarmants

  • Près de 30 000 utilisateurs macOS ont été ciblés par Cthulhu Stealer en 2024, avec une majorité des infections enregistrées en Europe et en Amérique du Nord. (source : agrégation des rapports d’incidents enregistrés par diverses entreprises de cybersécurité)
  • Le montant total estimé des fonds volés via des portefeuilles de cryptomonnaies est supérieur à 2 millions USD (source : MetaMask).
  • Le taux de détection initial par les antivirus traditionnels est inférieur à 35 %, ce qui souligne la nécessité de stratégies de détection plus robustes (source : The Hacker News).

Processus de Distribution de Cthulhu Stealer

Le Cthulhu Stealer se distingue non seulement par ses capacités de vol de données, mais aussi par son processus de distribution particulièrement rusé, conçu pour maximiser son impact et sa propagation. Ce processus de distribution est multiforme, exploitant des méthodes variées pour atteindre un grand nombre de victimes tout en restant discret.

1. Propagation via des Sites de Téléchargement et des Torrents

Le principal vecteur de distribution du Cthulhu Stealer est le téléchargement de logiciels piratés. Les attaquants diffusent le malware via des sites de téléchargement peu fiables, souvent sous la forme de fichiers DMG prétendant être des versions gratuites ou piratées de logiciels populaires. Des jeux très attendus comme Grand Theft Auto VI ou des utilitaires comme CleanMyMac sont les appâts parfaits pour attirer les utilisateurs peu méfiants.

Les attaquants utilisent également des réseaux de partage de fichiers torrent pour distribuer le malware. En masquant Cthulhu Stealer dans des archives contenant des versions soi-disant craquées de logiciels ou de jeux, ils profitent de la popularité de ces plateformes pour atteindre un large public.

2. Emails de Phishing ciblés

Une autre méthode de distribution efficace du Cthulhu Stealer est le phishing ciblé. Les attaquants envoient des emails frauduleux prétendant provenir de sources légitimes, comme des fournisseurs de logiciels ou des entreprises bien connues, incitant les utilisateurs à télécharger des fichiers infectés. Ces emails contiennent généralement des liens vers des sites de téléchargement compromis ou des pièces jointes malveillantes déguisées en documents ou en mises à jour logicielles.

Ces campagnes de phishing sont souvent personnalisées pour augmenter les chances de succès. Par exemple, un utilisateur ayant récemment recherché des jeux pourrait recevoir un email proposant un téléchargement exclusif ou anticipé de Grand Theft Auto VI, avec un lien pointant vers un site compromis.

3. Exploitation des Publicités Malveillantes (Malvertising)

Le malvertising, ou publicité malveillante, est une autre technique utilisée pour propager le Cthulhu Stealer. Les attaquants achètent des espaces publicitaires sur des sites web populaires ou injectent des publicités infectées dans des réseaux publicitaires peu sécurisés. Ces publicités redirigent les utilisateurs vers des pages de téléchargement de logiciels malveillants, déguisées en offres promotionnelles ou en alertes de sécurité incitant à installer des « mises à jour » urgentes.

Les campagnes de malvertising sont particulièrement dangereuses car elles peuvent atteindre un grand nombre d’utilisateurs, y compris ceux qui ne recherchent pas activement des logiciels piratés. Elles ciblent souvent des sites de streaming, des forums de discussion, ou des plateformes de jeux, où les utilisateurs sont plus susceptibles de cliquer sur des offres apparemment légitimes.

4. Exploitation des Forums et Réseaux Sociaux

Les forums en ligne et les réseaux sociaux sont également exploités pour la distribution de Cthulhu Stealer. Les attaquants infiltrent des communautés de passionnés de jeux vidéo ou de technologie, où ils partagent des liens vers des fichiers infectés, se faisant passer pour des utilisateurs bienveillants partageant des bons plans. Sur les réseaux sociaux, ils créent de faux comptes ou piratent des comptes existants pour diffuser des liens malveillants vers des soi-disant téléchargements exclusifs ou des versions bêta de logiciels.

Ces techniques tirent parti de la confiance et du partage d’informations dans ces communautés, rendant les utilisateurs plus enclins à cliquer sur les liens partagés sans les vérifier au préalable.

Cas d’usage : Contexte et environnement de déploiement

Cthulhu Stealer est un malware développé en GoLang, un langage de programmation moderne qui lui confère une certaine polyvalence en termes de compatibilité multi-plateforme, ciblant à la fois les architectures x86_64 et ARM. Le choix de GoLang n’est pas anodin : ce langage facilite la création de logiciels pouvant fonctionner sur plusieurs systèmes d’exploitation, tout en restant relativement difficile à analyser par les outils traditionnels de rétro-ingénierie.

Le malware se propage principalement via des images disque DMG (Disk Image File), un format couramment utilisé pour la distribution de logiciels sur macOS, masquées en logiciels légitimes. Les fichiers cibles incluent des logiciels tels que CleanMyMac et des jeux populaires comme Grand Theft Auto VI, ainsi que des outils comme Adobe GenP, qui sont souvent recherchés par les utilisateurs à la recherche de versions gratuites ou piratées.

Mécanismes d’exploitation et techniques de persistance

Une fois exécuté, Cthulhu Stealer utilise un script osascript pour demander les informations d’identification de l’utilisateur. Cette méthode, bien que peu sophistiquée, est couramment utilisée dans plusieurs malwares ciblant macOS, comme Atomic Stealer. En imitant une demande légitime de mot de passe système, le malware obtient l’accès aux éléments stockés dans le trousseau de l’utilisateur, un conteneur sécurisé où macOS stocke les mots de passe, les clés cryptographiques et d’autres informations sensibles.

Après la collecte des données, Cthulhu Stealer utilise Chainbreaker, un outil open-source souvent utilisé par les chercheurs en sécurité pour déchiffrer les données du trousseau iCloud. Cependant, dans ce contexte, Chainbreaker est détourné pour servir les objectifs malveillants du malware, permettant le transfert des données dérobées vers un serveur de commande et contrôle (C2).

Le malware cible spécifiquement les portefeuilles de cryptomonnaies comme MetaMask et d’autres stockés localement, ainsi que les cookies de navigateur et les informations de session de services comme Telegram. Ces informations sont précieuses car elles permettent aux attaquants d’accéder à des comptes en ligne, de voler des fonds ou de compromettre d’autres systèmes.

Techniques MITRE ATT&CK liées à la détection

Le Cthulhu Stealer utilise plusieurs techniques avancées répertoriées par le cadre MITRE ATT&CK pour compromettre les systèmes macOS. Parmi ces techniques, il désactive ou modifie les outils de sécurité (T1562.001), se déguise en applications légitimes (T1036.005), et utilise des protocoles Web pour exfiltrer des données (T1071.001). Il exploite également AppleScript pour collecter des informations d’identification (T1059.002) et crée des tâches planifiées pour maintenir sa persistance (T1053.003). Ces méthodes rendent le malware difficile à détecter et à éliminer, soulignant la nécessité de mesures de sécurité robustes et de surveillance proactive.

————————————————-

ITrust, en tant que société spécialisée dans la cybersécurité, peut proposer plusieurs solutions pour contrer des menaces comme le Cthulhu Stealer sur macOS :

Détection d’Intrusions, surveillance des anomalies, Threat Intelligence,  ITrust peut proposer plusieurs solutions pour contrer les menaces comme le Cthulhu Stealer sur macOS. Par exemple, notre solution Reveelium peut détecter les tentatives de désactivation des outils de sécurité, les activités inhabituelles de scripting (comme celles utilisant AppleScript), et les connexions suspectes avec des serveurs C2.