Κλέφτης Κούκου
Ερευνητές στον τομέα της κυβερνοασφάλειας ανακάλυψαν μια νέα απειλή που στοχεύει τα συστήματα macOS της Apple, σχεδιασμένη να δημιουργεί μόνιμη πρόσβαση σε παραβιασμένους κεντρικούς υπολογιστές και να λειτουργεί ως λογισμικό υποκλοπής. Με το όνομα Cuckoo, αυτό το κακόβουλο λογισμικό είναι ένα καθολικό δυαδικό Mach-O που μπορεί να εκτελεστεί τόσο σε Mac Intel όσο και σε Arm-based.
Η συγκεκριμένη μέθοδος διανομής παραμένει αβέβαιη. Ωστόσο, υπάρχουν ενδείξεις ότι το δυαδικό αρχείο φιλοξενείται σε πολλούς ιστότοπους (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com και tunefab.com) που υποτίθεται ότι παρέχουν δωρεάν και επί πληρωμή εφαρμογές για αντιγραφή μουσικής από υπηρεσίες ροής και μετατροπή σε μορφή MP3.
Πίνακας περιεχομένων
The Cuckoo Stealer Καθιερώνει την Επιμονή στο μολυσμένο Mac
Το αρχείο εικόνας δίσκου που λαμβάνεται από αυτούς τους ιστότοπους εκκινεί ένα κέλυφος bash για τη συλλογή στοιχείων κεντρικού υπολογιστή. Διασφαλίζει ότι το παραβιασμένο μηχάνημα δεν βρίσκεται στην Αρμενία, τη Λευκορωσία, το Καζακστάν, τη Ρωσία ή την Ουκρανία. Το δόλιο δυαδικό εκτελείται μόνο εάν ο έλεγχος τοπικών ρυθμίσεων είναι επιτυχής.
Επιπλέον, καθιερώνει την επιμονή χρησιμοποιώντας ένα LaunchAgent, μια μέθοδο που χρησιμοποιήθηκε προηγουμένως από διάφορες οικογένειες κακόβουλου λογισμικού όπως οι RustBucket , XLoader , JaskaGO και μια κερκόπορτα macOS που μοιράζεται ομοιότητες με το ZuRu .
Παρόμοια με το κακόβουλο λογισμικό MacStealer macOS, το Cuckoo χρησιμοποιεί το osascript για να παρουσιάσει ένα μήνυμα ψεύτικο κωδικό πρόσβασης, εξαπατώντας τους χρήστες να εισάγουν τους κωδικούς πρόσβασης του συστήματός τους για κλιμάκωση των προνομίων. Αυτό το κακόβουλο λογισμικό σαρώνει επίσης για συγκεκριμένα αρχεία που συνδέονται με συγκεκριμένες εφαρμογές σε μια προσπάθεια να συγκεντρώσει εκτενείς πληροφορίες συστήματος.
The Cuckoo Stealer θέτει σε κίνδυνο ευαίσθητες πληροφορίες από παραβιασμένες συσκευές
Το Cuckoo Malware έχει σχεδιαστεί για να εκτελεί μια ακολουθία εντολών που στοχεύουν στην εξαγωγή λεπτομερειών υλικού, τη λήψη ενεργών διεργασιών, την αναζήτηση εγκατεστημένων εφαρμογών, τη λήψη στιγμιότυπων οθόνης και τη συλλογή δεδομένων από διάφορες πηγές, όπως iCloud Keychain, Apple Notes, προγράμματα περιήγησης στο Web, πορτοφόλια κρυπτογράφησης και συγκεκριμένες εφαρμογές όπως το Discord, το FileZilla, το Steam και το Telegram.
Κάθε απειλητική εφαρμογή περιλαμβάνει μια ενσωματωμένη δέσμη εφαρμογών στον κατάλογο πόρων της. Τα περισσότερα από αυτά τα πακέτα, με εξαίρεση αυτά του fonedog.com, είναι υπογεγραμμένα και διαθέτουν έγκυρο αναγνωριστικό προγραμματιστή που αποδίδεται στην Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). Συγκεκριμένα, το fonedog.com φιλοξένησε ένα εργαλείο ανάκτησης Android μαζί με άλλες προσφορές και το πρόσθετο πακέτο εφαρμογών του διαθέτει ένα αναγνωριστικό προγραμματιστή από την FoneDog Technology Limited (CUAU2GTG98).
Οι συσκευές Mac έχουν γίνει συχνός στόχος επιθέσεων κακόβουλου λογισμικού
Οι εγκληματίες του κυβερνοχώρου έχουν αναπτύξει εργαλεία κακόβουλου λογισμικού που στοχεύουν σε συσκευές Mac, με χαρακτηριστικό παράδειγμα την οικογένεια κακόβουλου λογισμικού AdLoad . Πρόσφατα, ερευνητές ασφάλειας πληροφοριών έχουν σημάνει συναγερμούς σχετικά με μια νέα παραλλαγή αυτού του περιβόητου κακόβουλου λογισμικού που ονομάζεται Rload (γνωστό και ως Lador), γραμμένο στη γλώσσα προγραμματισμού Go. Το Rload έχει σχεδιαστεί για να παρακάμπτει τη λίστα υπογραφών κακόβουλου λογισμικού XProtect της Apple και έχει μεταγλωττιστεί ειδικά για την αρχιτεκτονική Intel x86_64.
Αυτά τα δυαδικά λειτουργούν ως αρχικοί σταγονόμετρο για τα επόμενα στάδια ωφέλιμου φορτίου. Επί του παρόντος, οι ακριβείς μέθοδοι διανομής παραμένουν ασαφείς. Ωστόσο, αυτά τα droppers βρίσκονται συνήθως ενσωματωμένα σε σπασμένες ή trojanized εφαρμογές που διανέμονται μέσω κακόβουλων ιστότοπων.
Το AdLoad, μια καμπάνια adware που επηρεάζει το macOS τουλάχιστον από το 2017, είναι διαβόητη για την παραβίαση των αποτελεσμάτων των μηχανών αναζήτησης και την εισαγωγή διαφημίσεων σε ιστοσελίδες. Αυτό επιτυγχάνεται μέσω μιας εγκατάστασης διακομιστή μεσολάβησης ιστού man-in-the-middle, που ανακατευθύνει την κυκλοφορία ιστού των χρηστών μέσω της υποδομής του εισβολέα για οικονομικό όφελος.
