دزد فاخته

محققان امنیت سایبری تهدید جدیدی را کشف کرده‌اند که سیستم‌های macOS اپل را هدف قرار می‌دهد که برای ایجاد دسترسی دائمی به میزبان‌های در معرض خطر و عملکرد به عنوان جاسوس‌افزار طراحی شده است. این بدافزار که Cuckoo نام دارد، یک باینری جهانی Mach-O است که می‌تواند بر روی مک‌های مبتنی بر اینتل و Arm-based اجرا شود.

روش خاص توزیع نامشخص است. با این حال، نشانه‌هایی وجود دارد که نشان می‌دهد این باینری در چندین وب‌سایت (dumpmedia.com، tunesolo.com، fonedog.com، tunesfun.com و tunefab.com) میزبانی می‌شود که ادعا می‌کنند برنامه‌های رایگان و پولی برای ریپ کردن موسیقی از سرویس‌های پخش و تبدیل ارائه می‌کنند. آن را به فرمت MP3.

The Cuckoo Stealer پایداری را در مک آلوده ایجاد می کند

فایل تصویر دیسک به‌دست‌آمده از این وب‌سایت‌ها، یک پوسته bash را برای جمع‌آوری جزئیات میزبان آغاز می‌کند. این تضمین می کند که دستگاه در معرض خطر در ارمنستان، بلاروس، قزاقستان، روسیه یا اوکراین قرار ندارد. باینری تقلبی فقط در صورتی اجرا می شود که بررسی محلی با موفقیت انجام شود.

علاوه بر این، با استفاده از LaunchAgent، روشی که قبلاً توسط خانواده‌های بدافزار مختلف مانند RustBucket ، XLoader ، JaskaGO و یک درب پشتی macOS که شباهت‌هایی با ZuRu دارد، از آن استفاده می‌کردند، پایداری را ایجاد می‌کند.

مشابه بدافزار MacStealer macOS، Cuckoo از osascript برای ارائه یک رمز عبور جعلی استفاده می‌کند و کاربران را فریب می‌دهد تا رمزهای عبور سیستم خود را برای افزایش امتیاز وارد کنند. این بدافزار همچنین فایل‌های خاص مرتبط با برنامه‌های خاص را در تلاش برای جمع‌آوری اطلاعات گسترده سیستم اسکن می‌کند.

دزد فاخته اطلاعات حساس دستگاه های خراب را به خطر می اندازد

بدافزار Cuckoo برای اجرای مجموعه‌ای از دستورات با هدف استخراج جزئیات سخت‌افزار، ضبط فرآیندهای فعال، جستجوی برنامه‌های نصب‌شده، گرفتن اسکرین شات و جمع‌آوری داده‌ها از منابع مختلف، از جمله iCloud Keychain، Apple Notes، مرورگرهای وب، کیف پول‌های رمزنگاری و موارد خاص طراحی شده است. برنامه هایی مانند Discord، FileZilla، Steam و Telegram.

هر برنامه تهدید کننده شامل یک بسته نرم افزاری تعبیه شده در فهرست منابع خود است. اکثر این بسته‌ها، به استثنای مواردی که از fonedog.com هستند، امضا شده‌اند و دارای شناسه توسعه‌دهنده معتبر منتسب به Yian Technology Shenzhen Co., Ltd (VRBJ4VRP) هستند. قابل ذکر است، fonedog.com یک ابزار بازیابی اندروید را همراه با سایر پیشنهادات میزبانی می کند، و بسته برنامه اضافی آن دارای شناسه توسعه دهنده از FoneDog Technology Limited (CUAU2GTG98) است.

دستگاه‌های مک به هدف مکرر حملات بدافزار تبدیل شده‌اند

مجرمان سایبری ابزارهای بدافزاری را برای دستگاه‌های مک به کار می‌برند که یکی از نمونه‌های برجسته آن خانواده بدافزار AdLoad است. اخیراً محققان امنیت اطلاعات هشدارهایی را در مورد نوع جدیدی از این بدافزار بدنام به نام Rload (همچنین با نام Lador) که به زبان برنامه نویسی Go نوشته شده است، به صدا درآورده اند. Rload برای دور زدن لیست امضای بدافزار XProtect اپل طراحی شده است و به طور خاص برای معماری Intel x86_64 کامپایل شده است.

این باینری ها به عنوان قطره چکان اولیه برای مراحل بارگذاری بعدی عمل می کنند. در حال حاضر، روش های توزیع دقیق همچنان نامشخص است. با این حال، این قطره چکان ها معمولاً در برنامه های کرک شده یا تروجانی شده جاسازی شده از طریق وب سایت های مخرب یافت می شوند.

AdLoad، یک کمپین تبلیغاتی که حداقل از سال 2017 بر macOS تأثیر می گذارد، به دلیل ربودن نتایج موتورهای جستجو و تزریق تبلیغات به صفحات وب بدنام است. این کار از طریق راه اندازی پروکسی وب Man-in-the-Middle، هدایت ترافیک وب کاربر از طریق زیرساخت مهاجم برای سود مالی انجام می شود.