El malware llamado Cthulhu es una amenaza reciente que afecta a usuarios de MacOS y que tiene una particularidad, que habrás adivinado leyendo el título del post: está diseñado específicamente para robar criptomonedas.
Este malware se dirige a los monederos de criptomonedas almacenados en los sistemas afectados y tiene la capacidad de extraer información sensible, como claves privadas y credenciales, que pueden ser utilizadas para vaciar los monederos de criptomonedas de las víctimas.
Por lo que si quieres saber un poco más sobre Cthulhu, qué hace, cómo está construido y sobre todo, cómo puedes combatirlo, te aconsejamos que sigas leyendo este post donde te daremos todos los detalles. ¡Allá vamos!
Características del malware Cthulhu
A diferencia de muchos otros tipos de malware que suelen centrarse en sistemas Windows o Android, Cthulhu ha sido diseñado para atacar específicamente a usuarios de MacOS, una plataforma que tradicionalmente ha sido considerada más segura y menos propensa a infecciones por malware.
Y como habíamos indicado en otras ocasiones, el hecho de que macOS sea una plataforma con menos usuarios no la hace invulnerable y ganar cuota de mercado tiene sus partes negativas, como puede ser despertar el interés de los atacantes.
Objetivo de Cthulhu
Para conseguir robar tus criptomonedas, el malware busca monederas que tengas almacenados localmente en tu dispositivo infectado.
Una vez que los encuentra, Cthulhu extrae claves privadas y otra información crítica que permite a los atacantes transferir fondos a sus propias cuentas y al ser las criptomonedas algo sin control y con poca o nula trazabilidad… el robo estaría cubierto.
Cómo se distribuye este malware
El método exacto de distribución de Cthulhu no está completamente claro, pero como muchos otros tipos de malware, podría ser distribuido a través de archivos adjuntos de correos electrónicos maliciosos, descargas de software pirateado o falsos, sitios web comprometidos, o mediante la explotación de vulnerabilidades en el software del sistema operativo.
En concreto, se rumorea que se estaba distribuyendo como “cracks” de juegos populares como Diablo, World of Warcraft o Minecraft, y también escondido en ciertos mods de estos, así como en versiones “de Jack Sparrow” de CleanMyMacX.
¿Pero el antivirus podrá detectar Cthulhu, no?
Vamos a ser sinceros, este malware lo tiene fácil para distribuirse por la tasa relativamente baja de adopción de software de seguridad para macOS. Pero damos por hecho que eres lector habitual de SoydeMac y que nos has hecho caso a los consejos que te damos sobre seguridad, ¿no?
Pero aún para un antivirus decentillo es difícil detectar el malware, ya que parece que Cthulhu tiene ciertas capacidades avanzadas de evasión para evitar ser detectado por software antivirus y de seguridad en macOS, incluyendo técnicas como el cifrado de su código, el uso de mecanismos de ofuscación, o el aprovechamiento de permisos legítimos para evitar levantar sospechas.
Vamos a ponernos frikis: ¿Cómo han parido a Cthulhu?
Está muy bien que ya sepas de que va este malware, pero aquí vamos a darte alguna pista más sobre cómo está diseñado el malware para que sepas a que te atienes cuando ves asomarte a esta bestia de Lovecraft en tu Mac.
El lenguaje de programación de Cthulhu: una quimera de software
Sin tener el código fuente delante, creemos que es probable que Cthulhu esté escrito en Objective-C o Swift, los lenguajes de programación más utilizados para desarrollar aplicaciones en macOS, algo que le permitiría integrarse profundamente con el sistema operativo y evadir las técnicas de detección de malware nativo.
Aunque también podría utilizar partes en C o C++ para las secciones que requieren una ejecución más cercana al sistema, como el manejo de la memoria o la manipulación de archivos del sistema, ya que son los lenguajes sobre los que están montados estos servicios.
Entendiendo el malware: un virus está hecho de pequeños módulos
El malware podría estar dividido en varios módulos, cada uno de los cuales cumple una función específica:
Módulo de infección inicial
Este módulo se encarga de ejecutar el código malicioso en el sistema de la víctima, que se podría valer de vulnerabilidades en aplicaciones de terceros o engañar al usuario para que ejecute un archivo aparentemente benigno (por ejemplo, un PDF o un instalador de software de un juego pirata), para entrar en el sistema.
Módulo de persistencia
Una vez que el malware se ejecuta, este módulo asegura que se mantenga en el sistema incluso después de un reinicio. Para lograr la persistencia, Cthulhu podría modificar archivos de configuración del sistema.
Y dentro de esto entraría el instalar scripts de inicio en los directorios de lanzamiento de macOS (/Library/LaunchDaemons o /Library/LaunchAgents) o utilizar técnicas de inyección de procesos para ejecutarse dentro de procesos legítimos del sistema.
Módulo de evasión
Para evitar la detección, Cthulhu podría utilizar varias técnicas de evasión, tales como:
- Cifrado y ofuscación: Cifrar partes del código para evitar que sean reconocidas por los motores antivirus. Aquí también contamos la posibilidad de ofuscar su código para que sea difícil de leer y entender por los analistas.
- Desactivación de seguridad: Intentar deshabilitar características de seguridad del sistema, como Gatekeeper o XProtect, que son protecciones nativas de MacOS.
- Monitorización de actividad de seguridad: Detectar la ejecución de herramientas de seguridad y desactivar temporalmente su actividad maliciosa para evitar la detección.
Módulo de recolección de información: la clave para robar criptomonedas
Gracias a este módulo, el virus escanea el sistema en busca de archivos de monederos de criptomonedas conocidos (por ejemplo, archivos de configuración de aplicaciones como Electrum, Exodus, o similares).
Una vez que los detecta, accede a los archivos de monedero y extrae las claves privadas y semillas de recuperación, que luego se envían a un servidor de comando y control (C2) controlado por los atacantes.
También es probable que en esta fase se produzca una vigilancia del portapapeles de macOS, donde Cthulhu podría monitorear el mismo en busca de direcciones de criptomonedas copiadas por el usuario. Al detectar una dirección de monedero, el malware podría reemplazarla por la dirección del atacante, redirigiendo así las transferencias de criptomonedas a la cuenta del atacante y ya la tendríamos “liada parda”.
Módulo de Comunicación con el Servidor C2
A través de protocolos seguros como HTTPS o WebSocket, el virus podría comunicarse con el servidor de comando y control, enviando datos robados y recibiendo nuevas instrucciones, todo ello ligado a técnicas que haga más difícil seguirle la pista, como el uso de servidores proxy, cifrado de tráfico, y cambios frecuentes en los dominios de los servidores C2.
Cthulhu hace patente una cosa: es necesario protegerse
Si bien al final estamos hablando de otro virus más en el mundo de la ciberseguridad, es una clara llamada de atención para todos los usuarios de macOS: amigos, es hora de instalar un antivirus.
Proteger nuestros equipos es nuestra responsabilidad y no hay sistemas invulnerables: incluso el sistema operativo más raro y anticuado tiene algún malware “rulando” por ahí que puede comprometer la seguridad de tu equipo y la integridad de tus datos.
Ahora bien, en tus manos queda el estar protegido… o ser vulnerable. ¿Qué tipo de usuario quieres ser? Yo lo tengo claro.