Robador de cucuts
Els investigadors de ciberseguretat han descobert una nova amenaça dirigida als sistemes macOS d'Apple, dissenyada per establir un accés persistent en amfitrions compromeses i operar com a programari espia. Anomenat Cuckoo, aquest programari maliciós és un binari universal Mach-O capaç d'executar-se tant en Macs basats en Intel com en Arm.
El mètode específic de distribució segueix sent incert. Tanmateix, hi ha indicis que el binari està allotjat a diversos llocs web (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com i tunefab.com) que pretenen proporcionar aplicacions gratuïtes i de pagament per extraure música dels serveis de transmissió i convertir-la. en format MP3.
Taula de continguts
The Cuckoo Stealer estableix la persistència al Mac infectat
El fitxer d'imatge de disc obtingut d'aquests llocs web inicia un shell bash per recollir els detalls de l'amfitrió. Assegura que la màquina compromesa no es troba a Armènia, Bielorússia, Kazakhstan, Rússia o Ucraïna. El binari fraudulent només s'executa si la comprovació local té èxit.
A més, estableix la persistència mitjançant un LaunchAgent, un mètode utilitzat anteriorment per diverses famílies de programari maliciós com RustBucket , XLoader , JaskaGO i una porta posterior de macOS que comparteix similituds amb ZuRu .
De manera similar al programari maliciós MacStealer macOS, Cuckoo utilitza osascript per presentar una sol·licitud de contrasenya falsa, enganyant els usuaris perquè introdueixin les seves contrasenyes del sistema per augmentar els privilegis. Aquest programari maliciós també busca fitxers específics vinculats a aplicacions concretes per tal de recollir una àmplia informació del sistema.
The Cuckoo Stealer compromet la informació sensible dels dispositius trencats
El programari maliciós Cuckoo està dissenyat per executar una seqüència d'ordres destinades a extreure detalls de maquinari, capturar processos actius, consultar aplicacions instal·lades, fer captures de pantalla i recopilar dades de diverses fonts, com ara el clauer d'iCloud, les notes d'Apple, els navegadors web, les carteres criptogràfiques i específiques. aplicacions com Discord, FileZilla, Steam i Telegram.
Cada aplicació amenaçadora inclou un paquet d'aplicacions incrustat dins del seu directori de recursos. La majoria d'aquests paquets, a excepció dels de fonedog.com, estan signats i porten un identificador de desenvolupador vàlid atribuït a Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). En particular, fonedog.com allotjava una eina de recuperació d'Android juntament amb altres ofertes, i el seu paquet d'aplicacions addicionals inclou un identificador de desenvolupador de FoneDog Technology Limited (CUAU2GTG98).
Els dispositius Mac s'han convertit en un objectiu freqüent d'atacs de programari maliciós
Els cibercriminals han desplegat eines de programari maliciós dirigides a dispositius Mac, amb un exemple destacat de la família de programari maliciós AdLoad . Recentment, els investigadors de seguretat de la informació han aixecat les alarmes sobre una nova variant d'aquest famós programari maliciós anomenada Rload (també conegut com Lador), escrit en el llenguatge de programació Go. Rload està dissenyat per evitar la llista de signatures de programari maliciós XProtect d'Apple i està compilat específicament per a l'arquitectura Intel x86_64.
Aquests binaris actuen com a comptagotes inicials per a etapes de càrrega útils posteriors. Actualment, els mètodes de distribució exactes encara no estan clars. No obstant això, aquests comptagotes normalment es troben incrustats en aplicacions esquerdes o troianitzades distribuïdes a través de llocs web maliciosos.
AdLoad, una campanya de programari publicitari que afecta macOS des d'almenys el 2017, és coneguda per segrestar els resultats del motor de cerca i injectar anuncis a les pàgines web. Això s'aconsegueix mitjançant una configuració de proxy web man-in-the-middle, que redirigeix el trànsit web de l'usuari a través de la infraestructura de l'atacant per obtenir guanys financers.
