Kradljivac kukavice
Istraživači kibernetičke sigurnosti otkrili su novu prijetnju usmjerenu na Apple macOS sustave, osmišljenu za uspostavljanje trajnog pristupa na kompromitiranim hostovima i funkcioniranje kao špijunski softver. Nazvan Cuckoo, ovaj zlonamjerni softver je univerzalni Mach-O binarni program koji može raditi i na Intelovim i Armovim Mac računalima.
Specifična metoda distribucije ostaje neizvjesna. Međutim, postoje znakovi da je binarna datoteka smještena na više web stranica (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com i tunefab.com) koje navodno pružaju besplatne i plaćene aplikacije za kopiranje glazbe sa usluga strujanja i pretvaranje u MP3 format.
Sadržaj
Cuckoo Stealer uspostavlja postojanost na zaraženom Macu
Datoteka slike diska dobivena s ovih web stranica pokreće bash shell za prikupljanje pojedinosti o hostu. Osigurava da se kompromitirani stroj ne nalazi u Armeniji, Bjelorusiji, Kazahstanu, Rusiji ili Ukrajini. Lažna binarna datoteka pokreće se samo ako provjera jezika uspije.
Nadalje, uspostavlja postojanost koristeći LaunchAgent, metodu koju su prethodno koristile razne obitelji malwarea kao što su RustBucket , XLoader , JaskaGO i macOS backdoor koji dijeli sličnosti sa ZuRu .
Slično zlonamjernom softveru MacStealer za macOS, Cuckoo koristi osascript za predstavljanje upita za lažnu lozinku, varajući korisnike da unesu svoje sistemske lozinke za eskalaciju privilegija. Ovaj zlonamjerni softver također skenira određene datoteke povezane s određenim aplikacijama u nastojanju da prikupi opsežne informacije o sustavu.
Cuckoo Stealer kompromitira osjetljive podatke s oštećenih uređaja
Zlonamjerni softver Cuckoo dizajniran je za izvršavanje niza naredbi usmjerenih na izdvajanje hardverskih detalja, snimanje aktivnih procesa, postavljanje upita instaliranim aplikacijama, snimanje zaslona i prikupljanje podataka iz različitih izvora, uključujući iCloud Keychain, Apple Notes, web preglednike, kripto novčanike i specifične aplikacije kao što su Discord, FileZilla, Steam i Telegram.
Svaka prijeteća aplikacija uključuje ugrađeni paket aplikacija unutar svog direktorija resursa. Većina ovih paketa, s izuzetkom onih s fonedog.com, potpisani su i nose važeći ID programera pripisan Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). Konkretno, fonedog.com je ugostio Android alat za oporavak zajedno s drugim ponudama, a njegov dodatni paket aplikacija sadrži ID programera od FoneDog Technology Limited (CUAU2GTG98).
Mac uređaji postali su česta meta napada zlonamjernog softvera
Kibernetički kriminalci upotrebljavaju zlonamjerne alate usmjerene na Mac uređaje, a jedan od istaknutih primjera je obitelj zlonamjernih programa AdLoad . Nedavno su istraživači informacijske sigurnosti podigli uzbunu zbog nove varijante ovog ozloglašenog zlonamjernog softvera nazvanog Rload (također poznatog kao Lador), napisanog u programskom jeziku Go. Rload je dizajniran da zaobiđe Appleov XProtect popis zlonamjernih potpisa i sastavljen je posebno za Intel x86_64 arhitekturu.
Ove binarne datoteke djeluju kao početni dodaci za sljedeće stupnjeve nosivosti. Trenutačno su točne metode distribucije nejasne. Međutim, ti dropperi se obično nalaze ugrađeni u krekirane ili trojanizirane aplikacije koje se distribuiraju putem zlonamjernih web stranica.
AdLoad, reklamna kampanja koja utječe na macOS barem od 2017., poznata je po otimanju rezultata tražilica i ubacivanju oglasa na web-stranice. To se postiže postavljanjem web proxyja "čovjek u sredini", preusmjeravajući korisnički web promet kroz napadačevu infrastrukturu radi financijske dobiti.
