Крадец на кукувици
Изследователите на киберсигурността откриха нова заплаха, насочена към системите Apple macOS, предназначени да установят постоянен достъп на компрометирани хостове и да работят като шпионски софтуер. Наречен Cuckoo, този зловреден софтуер е универсален двоичен Mach-O, който може да работи както на Intel, така и на базирани на Arm Mac.
Конкретният метод на разпространение остава несигурен. Въпреки това има признаци, че двоичният файл се хоства на множество уебсайтове (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com и tunefab.com), които претендират да предоставят безплатни и платени приложения за извличане на музика от стрийминг услуги и конвертиране в MP3 формат.
Съдържание
The Cuckoo Stealer установява устойчивост на заразения Mac
Файлът с изображение на диска, получен от тези уебсайтове, инициира bash shell за събиране на подробности за хоста. Той гарантира, че компрометираната машина не се намира в Армения, Беларус, Казахстан, Русия или Украйна. Измамният двоичен файл се изпълнява само ако проверката на локала е успешна.
Освен това, той установява устойчивост с помощта на LaunchAgent, метод, използван преди това от различни фамилии злонамерен софтуер като RustBucket , XLoader , JaskaGO и задна вратичка на macOS, която споделя прилики със ZuRu .
Подобно на злонамерения софтуер MacStealer за macOS, Cuckoo използва osascript, за да представи подкана за фалшива парола, като заблуждава потребителите да въведат своите системни пароли за ескалация на привилегии. Този зловреден софтуер също сканира за конкретни файлове, свързани с конкретни приложения, в опит да събере обширна системна информация.
The Cuckoo Stealer компрометира чувствителна информация от повредени устройства
Злонамереният софтуер Cuckoo е проектиран да изпълнява поредица от команди, насочени към извличане на подробности за хардуера, улавяне на активни процеси, заявки за инсталирани приложения, правене на екранни снимки и събиране на данни от различни източници, включително iCloud Keychain, Apple Notes, уеб браузъри, крипто портфейли и специфични приложения като Discord, FileZilla, Steam и Telegram.
Всяко заплашително приложение включва пакет с вградени приложения в своята директория с ресурси. Повечето от тези пакети, с изключение на тези от fonedog.com, са подписани и носят валиден ID на програмист, приписан на Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). За отбелязване е, че fonedog.com хоства инструмент за възстановяване на Android заедно с други предложения, а неговият допълнителен пакет от приложения включва идентификатор на разработчик от FoneDog Technology Limited (CUAU2GTG98).
Mac устройствата се превърнаха в честа мишена на злонамерени атаки
Киберпрестъпниците внедряват инструменти за зловреден софтуер, насочени към Mac устройства, като един изявен пример е семейството на зловреден софтуер AdLoad . Наскоро изследователи по сигурността на информацията алармираха за нов вариант на този прословут злонамерен софтуер, наречен Rload (известен също като Lador), написан на езика за програмиране Go. Rload е проектиран да заобикаля списъка със сигнатури за зловреден софтуер XProtect на Apple и е компилиран специално за архитектура Intel x86_64.
Тези двоични файлове действат като първоначални капки за следващите етапи на полезния товар. В момента точните методи за разпространение остават неясни. Тези капки обаче обикновено се намират вградени в кракнати или троянизирани приложения, разпространявани чрез злонамерени уебсайтове.
AdLoad, рекламна кампания, засягаща macOS поне от 2017 г., е известна с това, че отвлича резултатите от търсачките и инжектира реклами в уеб страници. Това се постига чрез настройка на уеб прокси човек по средата, пренасочващ потребителския уеб трафик през инфраструктурата на атакуващия за финансова печалба.
