Cthulhu Stealer: Ancaman Baru Malware untuk macOS

Belakangan ini, keyakinan bahwa sistem operasi macOS tidak rentan terhadap malware semakin dipertanyakan. Kemunculan ancaman baru seperti Silver Sparrow, KeRanger, dan Atomic Stealer telah mengungkapkan kerentanan yang ada pada sistem ini, membuat pengguna macOS menjadi lebih sadar akan risiko keamanan yang mungkin mereka hadapi.

Penambahan terbaru dalam daftar ancaman ini adalah Cthulhu Stealer, sebuah malware-as-a-service (MaaS) yang teridentifikasi oleh Cado Security. Malware ini bisa disewa dengan harga $500 per bulan, menargetkan pengguna macOS dengan tujuan utama mencuri data sensitif. Artikel ini akan membahas bagaimana Cthulhu Stealer bekerja, siapa operator di baliknya, dan apa implikasinya terhadap keamanan macOS.

Analisis Teknis Cthulhu Stealer

Cthulhu Stealer didistribusikan melalui gambar disk Apple (DMG) yang berisi binari untuk arsitektur x86_64 dan ARM. Malware ini ditulis menggunakan bahasa pemrograman GoLang dan menyamar sebagai perangkat lunak yang sah. Setelah pengguna menginstal DMG, mereka akan diminta untuk membuka aplikasi tersebut, yang menggunakan alat baris perintah macOS, osascript, untuk meminta kata sandi pengguna.

Setelah pengguna memasukkan kata sandi mereka, malware ini kemudian meminta kata sandi MetaMask mereka. Cthulhu Stealer membuat direktori di /Users/Shared/NW untuk menyimpan kredensial yang dicuri dalam bentuk file teks. Untuk mengumpulkan kata sandi Keychain, malware ini menggunakan alat Chainbreak dan menyimpannya dalam file bernama Keychain.txt. Data yang dicuri kemudian diarsipkan dalam bentuk zip, dan notifikasi dikirimkan ke server command-and-control (C2) untuk memberi tahu operator tentang data baru yang diperoleh.

Selain mencuri kata sandi, malware ini juga mengumpulkan informasi sistem seperti detail IP, versi sistem operasi, dan spesifikasi perangkat keras, kemudian menyimpannya dalam file teks.

Peniruan dan Pencurian Data

Cthulhu Stealer menyamar sebagai berbagai perangkat lunak populer seperti CleanMyMac, Grand Theft Auto IV, dan Adobe GenP. Tujuan utamanya adalah mencuri kredensial dan dompet cryptocurrency dari berbagai sumber, termasuk akun game. Malware ini memeriksa folder instalasi di Library/Application Support/[file store] dan membuang isinya ke dalam file teks. Data yang menjadi target meliputi cookie browser, dompet cryptocurrency seperti Coinbase dan MetaMask, serta informasi akun Telegram. Data yang dicuri mencakup:

• Cookie Browser
• Dompet Cryptocurrency (seperti MetaMask, Coinbase, Wasabi)
• Informasi Akun Game (seperti BattleNet)
• Kata Sandi Keychain dan SafeStorage

Perbandingan dengan Atomic Stealer

Cthulhu Stealer memiliki kesamaan dengan malware infostealer lain yang menargetkan macOS, yaitu Atomic Stealer. Keduanya ditulis dalam GoLang dan menggunakan osascript untuk meminta kata sandi dari pengguna. Atomic Stealer dijual dengan harga $1000 per bulan melalui Telegram, dan tampaknya pengembang Cthulhu Stealer mungkin telah memodifikasi kode dari Atomic Stealer. Kesamaan dalam fungsionalitas dan bahkan kesalahan ejaan menunjukkan adanya hubungan erat antara keduanya.

Operator di Balik Cthulhu Stealer

Para pengembang dan afiliasi Cthulhu Stealer, yang dikenal dengan nama "Cthulhu Team," beroperasi terutama melalui platform Telegram. Malware ini disewakan dengan harga $500 per bulan, dan afiliasi mendapatkan bagian dari pendapatan berdasarkan keberhasilan implementasi mereka. Cado Security menemukan Cthulhu Stealer di dua pasar malware yang terkenal, di mana malware ini dipasarkan dan dikomunikasikan.

Pada tahun 2024, beberapa afiliasi melaporkan masalah dengan operator utama, yang dikenal sebagai “Cthulhu” atau “Balaclavv,” karena tidak melakukan pembayaran. Tuduhan penipuan tersebut menyebabkan Cthulhu dilarang secara permanen dari pasar tersebut.

Peningkatan ancaman malware yang menargetkan macOS seperti Cthulhu Stealer menekankan pentingnya kewaspadaan dalam keamanan siber. Meskipun Cthulhu Team mungkin tidak lagi aktif, ancaman terhadap pengguna macOS tetap nyata.

Untuk melindungi diri dari ancaman seperti ini, pengguna disarankan untuk:

• Mengunduh perangkat lunak hanya dari sumber tepercaya seperti Apple App Store.
• Mengaktifkan fitur keamanan bawaan macOS, seperti Gatekeeper.
• Selalu memperbarui sistem dan aplikasi dengan patch keamanan terbaru.
• Pertimbangkan untuk menggunakan perangkat lunak antivirus yang terpercaya untuk perlindungan tambahan.

Dengan tetap terinformasi dan mengambil langkah-langkah proaktif, pengguna macOS dapat secara signifikan mengurangi risiko menjadi korban malware dan memastikan sistem mereka tetap aman.