גונב קוקייה

חוקרי אבטחת סייבר חשפו איום חדש המכוון למערכות macOS של Apple, שנועד ליצור גישה מתמשכת למארחים שנפגעו ולפעול כתוכנות ריגול. בשם קוקיה, תוכנה זדונית זו היא קובץ Mach-O בינארי אוניברסלי המסוגל לפעול גם על מחשבי Mac מבוססי אינטל וגם על Arm.

שיטת ההפצה הספציפית נותרה לא ברורה. עם זאת, ישנם סימנים לכך שהקובץ הבינארי מתארח במספר אתרים (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com ו-tunefab.com) המתיימרים לספק יישומים בחינם ובתשלום להעתקת מוזיקה משירותי סטרימינג והמרה זה לפורמט MP3.

גנב הקוקייה מבסס התמדה על ה-Mac הנגוע

קובץ תמונת הדיסק המתקבל מאתרים אלה יוזם מעטפת bash לאיסוף פרטי המארח. זה מבטיח שהמכונה שנפגעה אינה ממוקמת בארמניה, בלארוס, קזחסטן, רוסיה או אוקראינה. הבינארי הונאה פועל רק אם בדיקת המקום מצליחה.

יתר על כן, הוא מבסס התמדה באמצעות LaunchAgent, שיטה ששימשה בעבר על ידי משפחות תוכנות זדוניות שונות כמו RustBucket , XLoader , JaskaGO ודלת אחורית של macOS שחולקת קווי דמיון עם ZuRu .

בדומה לתוכנה זדונית של MacStealer macOS, קוקייה משתמשת ב-osascript כדי להציג בקשת סיסמה מזויפת, שמרמה את המשתמשים להזין את סיסמאות המערכת שלהם לצורך הסלמה של הרשאות. תוכנה זדונית זו גם סורקת קבצים ספציפיים המקושרים ליישומים מסוימים במאמץ לאסוף מידע מערכת נרחב.

גנב הקוקיה מתפשר על מידע רגיש ממכשירים שנפרצו

תוכנת הקוקייה נועדה לבצע רצף של פקודות שמטרתן לחלץ פרטי חומרה, לכידת תהליכים פעילים, שאילתת יישומים מותקנים, צילום צילומי מסך וקצירת נתונים ממקורות שונים, כולל iCloud Keychain, Apple Notes, דפדפני אינטרנט, ארנקי קריפטו וספציפיים יישומים כמו Discord, FileZilla, Steam ו-Telegram.

כל יישום מאיים כולל חבילת יישומים משובצת בתוך ספריית המשאבים שלו. רוב החבילות הללו, למעט אלו מ-fonedog.com, חתומות ונושאות מזהה מפתח תקף המיוחס ל-Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). יש לציין כי fonedog.com אירחה כלי שחזור אנדרואיד יחד עם הצעות אחרות, וחבילת היישומים הנוספת שלו כוללת מזהה מפתח מבית FoneDog Technology Limited (CUAU2GTG98).

מכשירי Mac הפכו למטרה תכופה של התקפות זדוניות

פושעי סייבר פורסים כלים של תוכנות זדוניות המיועדות למכשירי Mac, כאשר דוגמה בולטת אחת היא משפחת התוכנות הזדוניות AdLoad . לאחרונה, חוקרי אבטחת מידע העלו אזעקות לגבי גרסה חדשה של התוכנה הזדונית הידועה לשמצה בשם Rload (הידועה גם בשם Lador), הכתובה בשפת התכנות Go. Rload נועד לעקוף את רשימת החתימות של XProtect של תוכנות זדוניות של אפל והוא מורכב במיוחד עבור ארכיטקטורת Intel x86_64.

קבצים בינאריים אלה פועלים כמטפטפים ראשוניים עבור שלבי המטען הבאים. נכון לעכשיו, שיטות ההפצה המדויקות עדיין לא ברורות. עם זאת, הטפטפות הללו נמצאות בדרך כלל משובצות ביישומים סדוקים או טרויאניים המופצים דרך אתרים זדוניים.

AdLoad, מסע פרסום של תוכנת פרסום המשפיע על macOS מאז 2017 לפחות, ידוע לשמצה בחטיפת תוצאות של מנועי חיפוש והחדרת פרסומות לדפי אינטרנט. זה מושג באמצעות הגדרת Proxy אינטרנט בין אדם באמצע, המפנה מחדש את תעבורת האינטרנט של המשתמש דרך התשתית של התוקף לרווח כספי.