Kägu varastaja
Küberjulgeoleku teadlased on avastanud uue ohu, mis on suunatud Apple macOS-i süsteemidele, mis on loodud püsiva juurdepääsu loomiseks ohustatud hostidele ja toimima nuhkvarana. Cuckoo nimega pahavara on universaalne Mach-O binaar, mis on võimeline töötama nii Inteli kui ka Armi põhistes Macides.
Konkreetne levitamisviis jääb ebaselgeks. Siiski on märke, et binaarfaili majutatakse mitmel veebisaidil (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com ja tunefab.com), mis väidetavalt pakuvad tasuta ja tasulisi rakendusi muusika voogedastusteenustest rippimiseks ja teisendamiseks. see MP3-vormingusse.
Sisukord
Cuckoo Stealer loob nakatunud Macis püsivuse
Nendelt veebisaitidelt saadud ketta pildifail käivitab hosti üksikasjade kogumiseks bash-shelli. See tagab, et kahjustatud masin ei asu Armeenias, Valgevenes, Kasahstanis, Venemaal ega Ukrainas. Petturlik binaar töötab ainult siis, kui lokaadi kontroll õnnestub.
Lisaks loob see püsivuse, kasutades LaunchAgenti – meetodit, mida varem kasutasid mitmed pahavarapered, nagu RustBucket , XLoader , JaskaGO , ja macOS-i tagauks, mis jagab sarnasusi ZuRuga .
Sarnaselt MacStealeri macOS-i pahavaraga kasutab Cuckoo osascripti võltsparooli viipa esitamiseks, pettes kasutajaid privileegide eskaleerimiseks oma süsteemiparoole sisestama. See pahavara otsib ka kindlaid faile, mis on seotud konkreetsete rakendustega, et koguda ulatuslikku süsteemiteavet.
Cuckoo Stealer ohustab rikutud seadmete tundlikku teavet
Cuckoo pahavara on loodud täitma käskude jada, mille eesmärk on riistvara üksikasjade eraldamine, aktiivsete protsesside hõivamine, installitud rakenduste päringute tegemine, ekraanipiltide tegemine ja andmete kogumine erinevatest allikatest, sealhulgas iCloud Keychain, Apple Notes, veebibrauserid, krüptorahakotid ja konkreetsed rakendused nagu Discord, FileZilla, Steam ja Telegram.
Iga ähvardav rakendus sisaldab oma ressursikataloogis manustatud rakenduste kogumit. Enamik neist komplektidest, välja arvatud saidilt fonedog.com, on allkirjastatud ja neil on kehtiv arendaja ID, mis on omistatud ettevõttele Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). Eelkõige hostis fonedog.com Androidi taastetööriista koos muude pakkumistega ja selle lisarakenduste komplekt sisaldab FoneDog Technology Limitedi (CUAU2GTG98) arendaja ID-d.
Maci seadmed on muutunud pahavararünnakute sagedaseks sihtmärgiks
Küberkurjategijad on kasutanud Maci seadmetele suunatud pahavara tööriistu, millest üks silmapaistev näide on AdLoadi pahavara perekond. Hiljuti on infoturbe uurijad tekitanud häireid selle kurikuulsa pahavara uue variandi kohta nimega Rload (tuntud ka kui Lador), mis on kirjutatud Go programmeerimiskeeles. Rload on loodud Apple'i XProtecti pahavara allkirjade loendist mööda minema ja see on koostatud spetsiaalselt Inteli x86_64 arhitektuuri jaoks.
Need kahendfailid toimivad järgnevate kasuliku koormuse etappide esialgsete tilgutajatena. Praegu on täpsed jaotusmeetodid ebaselged. Kuid need tilgutajad on tavaliselt manustatud murtud või troojastatud rakendustesse, mida levitatakse pahatahtlike veebisaitide kaudu.
AdLoad, reklaamvarakampaania, mis on mõjutanud MacOS-i vähemalt 2017. aastast, on kurikuulus otsingumootori tulemuste kaaperdamise ja veebilehtedele reklaamide sisestamise poolest. See saavutatakse veebipuhverserveri seadistamise kaudu, mis suunab kasutajate veebiliikluse rahalise kasu saamiseks ümber ründaja infrastruktuuri.
