سارق الوقواق

اكتشف باحثو الأمن السيبراني تهديدًا جديدًا يستهدف أنظمة Apple macOS، وهو مصمم لإنشاء وصول مستمر إلى الأجهزة المضيفة المخترقة والعمل كبرامج تجسس. يُطلق على هذه البرامج الضارة اسم Cuckoo، وهي عبارة عن برنامج Mach-O ثنائي عالمي قادر على التشغيل على كل من أجهزة Mac المستندة إلى Intel وArm.

لا تزال الطريقة المحددة للتوزيع غير مؤكدة. ومع ذلك، هناك دلائل على أن الملف الثنائي مستضاف على مواقع ويب متعددة (dumpmedia.com، tunesolo.com، fonedog.com، tunesfun.com، وtunefab.com) بزعم توفير تطبيقات مجانية ومدفوعة لنسخ الموسيقى من خدمات البث والتحويل. إلى تنسيق MP3.

يؤسس Cuckoo Stealer الثبات على جهاز Mac المصاب

يقوم ملف صورة القرص الذي تم الحصول عليه من مواقع الويب هذه ببدء تشغيل bash Shell لجمع تفاصيل المضيف. ويضمن عدم وجود الجهاز المخترق في أرمينيا أو بيلاروسيا أو كازاخستان أو روسيا أو أوكرانيا. يتم تشغيل الثنائي الاحتيالي فقط في حالة نجاح التحقق من اللغة.

علاوة على ذلك، فهو يثبت الثبات باستخدام LaunchAgent، وهي طريقة كانت تستخدمها سابقًا عائلات البرامج الضارة المختلفة مثل RustBucket و XLoader و JaskaGO والباب الخلفي لنظام التشغيل MacOS الذي يشترك في أوجه التشابه مع ZuRu .

على غرار البرنامج الضار MacStealer macOS، يستخدم Cuckoo برنامج osascript لتقديم مطالبة بكلمة مرور مزيفة، وخداع المستخدمين لإدخال كلمات مرور النظام الخاصة بهم لتصعيد الامتيازات. تقوم هذه البرامج الضارة أيضًا بالبحث عن ملفات محددة مرتبطة بتطبيقات معينة في محاولة لجمع معلومات النظام الشاملة.

يقوم Cuckoo Stealer باختراق المعلومات الحساسة من الأجهزة المخترقة

تم تصميم برنامج Cuckoo Malware لتنفيذ سلسلة من الأوامر التي تهدف إلى استخراج تفاصيل الأجهزة، والتقاط العمليات النشطة، والاستعلام عن التطبيقات المثبتة، والتقاط لقطات الشاشة، وجمع البيانات من مصادر مختلفة، بما في ذلك iCloud Keychain، وApple Notes، ومتصفحات الويب، ومحافظ التشفير، وغيرها من المصادر المحددة. تطبيقات مثل Discord وFileZilla وSteam وTelegram.

يتضمن كل تطبيق تهديد حزمة تطبيقات مضمنة ضمن دليل الموارد الخاص به. معظم هذه الحزم، باستثناء تلك الواردة من fonedog.com، موقعة وتحمل معرف مطور صالحًا منسوبًا إلى Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). ومن الجدير بالذكر أن fonedog.com استضاف أداة استرداد Android إلى جانب عروض أخرى، كما تتميز حزمة التطبيقات الإضافية الخاصة به بمعرف مطور من FoneDog Technology Limited (CUAU2GTG98).

أصبحت أجهزة Mac هدفًا متكررًا لهجمات البرامج الضارة

ينشر مجرمو الإنترنت أدوات البرامج الضارة التي تستهدف أجهزة Mac، ومن الأمثلة البارزة على ذلك عائلة البرامج الضارة AdLoad . في الآونة الأخيرة، أثار باحثو أمن المعلومات إنذارات بشأن نسخة جديدة من هذه البرامج الضارة سيئة السمعة تسمى Rload (المعروفة أيضًا باسم Lador)، والمكتوبة بلغة البرمجة Go. تم تصميم Rload لتجاوز قائمة توقيعات البرامج الضارة XProtect من Apple وتم تجميعه خصيصًا لبنية Intel x86_64.

تعمل هذه الثنائيات بمثابة قطارات أولية لمراحل الحمولة اللاحقة. حاليا، لا تزال طرق التوزيع الدقيقة غير واضحة. ومع ذلك، عادةً ما يتم العثور على هذه البرامج المتسربة مضمنة في التطبيقات المتصدعة أو المصابة بأحصنة طروادة والموزعة عبر مواقع الويب الضارة.

تشتهر AdLoad، وهي حملة إعلانية تؤثر على نظام التشغيل macOS منذ عام 2017 على الأقل، باختراق نتائج محركات البحث وإدخال الإعلانات في صفحات الويب. يتم تحقيق ذلك من خلال إعداد وكيل الويب الوسيط، مما يعيد توجيه حركة مرور المستخدم على الويب من خلال البنية التحتية للمهاجم لتحقيق مكاسب مالية.