Kakukklopó

A kiberbiztonsági kutatók új fenyegetést tártak fel, amely az Apple macOS rendszereit célozza, és amelyek állandó hozzáférést biztosítanak a feltört gazdagépekhez, és kémprogramként működnek. A Cuckoo névre keresztelt kártevő egy univerzális Mach-O bináris program, amely Intel és Arm alapú Mac gépeken is futni képes.

Az elosztás konkrét módja továbbra is bizonytalan. Vannak azonban arra utaló jelek, hogy a bináris fájlt több webhely is tárolja (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com és tunefab.com), amelyek állítólag ingyenes és fizetős alkalmazásokat kínálnak a zene streaming szolgáltatásokból való kimásolására és konvertálására. MP3 formátumba.

A Cuckoo Stealer tartósságot biztosít a fertőzött Macen

Az ezekről a webhelyekről beszerzett lemezképfájl egy bash shell-t kezdeményez a gazdagép részleteinek összegyűjtésére. Biztosítja, hogy a kompromittált gép ne legyen Örményországban, Fehéroroszországban, Kazahsztánban, Oroszországban vagy Ukrajnában. A csaló bináris fájl csak akkor fut le, ha a területi ellenőrzés sikeres.

Ezenkívül a LaunchAgent segítségével biztosítja a tartósságot, egy olyan módszert, amelyet korábban különféle rosszindulatú programcsaládok, például RustBucket , XLoader , JaskaGO , és egy macOS hátsó ajtót használnak, amely hasonló a ZuRu- val.

A MacStealer macOS rosszindulatú programhoz hasonlóan a Cuckoo is osascriptet használ a hamis jelszókérés megjelenítésére, megtévesztve a felhasználókat, hogy beírják rendszerjelszavaikat a jogosultságok eszkalációja céljából. Ez a rosszindulatú program bizonyos alkalmazásokhoz kapcsolódó fájlokat is keres, hogy átfogó rendszerinformációkat gyűjtsön össze.

A Cuckoo Stealer veszélyezteti a feltört eszközökről származó érzékeny információkat

A Cuckoo Malware parancssorozat végrehajtására szolgál, amelyek célja a hardverrészletek kinyerése, az aktív folyamatok rögzítése, a telepített alkalmazások lekérdezése, a képernyőképek készítése, valamint az adatok gyűjtése különböző forrásokból, beleértve az iCloud kulcstartót, az Apple Notes-okat, a webböngészőket, a kriptopénztárcákat és bizonyos forrásokból származó adatokat. olyan alkalmazások, mint a Discord, FileZilla, Steam és Telegram.

Minden fenyegető alkalmazás tartalmaz egy beágyazott alkalmazáscsomagot az erőforrás-könyvtárában. Ezeknek a csomagoknak a többsége – a fonedog.com webhelyén lévők kivételével – aláírt, és a Yian Technology Shenzhen Co., Ltd. (VRBJ4VRP) érvényes fejlesztői azonosítójával rendelkezik. Nevezetesen, a fonedog.com adott otthont egy Android-helyreállító eszköznek más ajánlatokkal együtt, és további alkalmazáscsomagja a FoneDog Technology Limited (CUAU2GTG98) fejlesztői azonosítóját tartalmazza.

A Mac-eszközök a rosszindulatú támadások gyakori célpontjává váltak

A kiberbűnözők rosszindulatú szoftvereket telepítettek a Mac-eszközökre, erre az egyik kiemelkedő példa az AdLoad kártevőcsalád. A közelmúltban az információbiztonsággal foglalkozó kutatók riadalmat keltettek ennek a hírhedt rosszindulatú programnak az Rload (más néven Lador) új változata miatt, amely Go programozási nyelven íródott. Az Rload úgy lett kialakítva, hogy megkerülje az Apple XProtect malware aláíráslistáját, és kifejezetten az Intel x86_64 architektúrához készült.

Ezek a binárisok kezdeti dropperként működnek a következő hasznos terhelési szakaszokban. Jelenleg a pontos elosztási módok tisztázatlanok. Ezek a dropperek azonban jellemzően rosszindulatú webhelyeken keresztül terjesztett feltört vagy trójai alkalmazásokba ágyazva találhatók.

Az AdLoad, a macOS-t legalább 2017 óta érintő reklámprogram kampánya hírhedt a keresőmotorok eredményeinek eltérítéséről és a weboldalakba való hirdetések beszúrásáról. Ez egy „man-in-the-middle” webproxy-beállításon keresztül valósul meg, amely pénzügyi haszon érdekében átirányítja a felhasználói webes forgalmat a támadó infrastruktúráján keresztül.