Gøgetjæler

Cybersikkerhedsforskere har afdækket en ny trussel rettet mod Apple macOS-systemer, designet til at etablere vedvarende adgang på kompromitterede værter og fungere som spyware. Denne malware, der hedder Cuckoo, er en universel Mach-O-binær, der kan køre på både Intel- og Arm-baserede Mac'er.

Den specifikke distributionsmetode er fortsat usikker. Der er dog tegn på, at binærfilen er hostet på flere websteder (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com og tunefab.com), der foregiver at levere gratis og betalte applikationer til at rippe musik fra streamingtjenester og konvertere det til MP3-format.

The Cuckoo Stealer etablerer persistens på den inficerede Mac

Diskbilledfilen opnået fra disse websteder starter en bash-shell for at indsamle værtsdetaljer. Det sikrer, at den kompromitterede maskine ikke er placeret i Armenien, Hviderusland, Kasakhstan, Rusland eller Ukraine. Den svigagtige binære fil kører kun, hvis lokalitetskontrollen lykkes.

Desuden etablerer det persistens ved hjælp af en LaunchAgent, en metode, der tidligere blev brugt af forskellige malware-familier såsom RustBucket , XLoader , JaskaGO og en macOS-bagdør, der deler ligheder med ZuRu .

I lighed med MacStealer macOS-malwaren anvender Cuckoo osascript til at præsentere en falsk adgangskodeprompt, der narre brugere til at indtaste deres systemadgangskoder for at eskalere privilegier. Denne malware scanner også efter specifikke filer, der er knyttet til bestemte applikationer i et forsøg på at indsamle omfattende systemoplysninger.

Gøgetjæleren kompromitterer følsomme oplysninger fra brudte enheder

Cuckoo Malware er designet til at udføre en sekvens af kommandoer, der har til formål at udtrække hardwaredetaljer, fange aktive processer, forespørge på installerede applikationer, tage skærmbilleder og høste data fra forskellige kilder, herunder iCloud-nøglering, Apple-noter, webbrowsere, kryptotegnebøger og specifikke applikationer som Discord, FileZilla, Steam og Telegram.

Hvert truende program inkluderer en indlejret applikationspakke i dens ressourcemappe. De fleste af disse bundter, med undtagelse af dem fra fonedog.com, er underskrevet og bærer et gyldigt udvikler-id tilskrevet Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). Fonedog.com var især vært for et Android-gendannelsesværktøj sammen med andre tilbud, og dets ekstra applikationspakke indeholder et udvikler-id fra FoneDog Technology Limited (CUAU2GTG98).

Mac-enheder er blevet et hyppigt mål for malware-angreb

Cyberkriminelle har implementeret malware-værktøjer rettet mod Mac-enheder, hvor et fremtrædende eksempel er AdLoad malware-familien. For nylig har informationssikkerhedsforskere slået alarm om en ny variant af denne berygtede malware kaldet Rload (også kendt som Lador), skrevet i programmeringssproget Go. Rload er designet til at omgå Apples XProtect malware-signaturliste og er kompileret specifikt til Intel x86_64-arkitektur.

Disse binære filer fungerer som indledende droppere for efterfølgende nyttelaststadier. I øjeblikket er de nøjagtige distributionsmetoder stadig uklare. Disse droppere findes dog typisk indlejret i crackede eller trojaniserede applikationer distribueret gennem ondsindede websteder.

AdLoad, en adware-kampagne, der har påvirket macOS siden mindst 2017, er berygtet for at kapre søgemaskineresultater og injicere reklamer på websider. Dette opnås gennem en man-in-the-middle-webproxy-opsætning, der omdirigerer brugerens webtrafik gennem angriberens infrastruktur for økonomisk vinding.