Ladro di cuculi
I ricercatori di sicurezza informatica hanno scoperto una nuova minaccia rivolta ai sistemi Apple macOS, progettata per stabilire un accesso persistente su host compromessi e funzionare come spyware. Chiamato Cuckoo, questo malware è un binario Mach-O universale in grado di funzionare sia su Mac basati su Intel che su Arm.
Il metodo specifico di distribuzione rimane incerto. Tuttavia, ci sono segni che il binario sia ospitato su più siti Web (dumpmedia.com, tunesolo.com, fonedog.com, tunesfun.com e tunefab.com) che pretendono di fornire applicazioni gratuite e a pagamento per estrarre musica da servizi di streaming e convertire in formato MP3.
Sommario
Il Cuckoo Stealer stabilisce la persistenza sul Mac infetto
Il file di immagine del disco ottenuto da questi siti Web avvia una shell bash per raccogliere i dettagli dell'host. Garantisce che la macchina compromessa non si trovi in Armenia, Bielorussia, Kazakistan, Russia o Ucraina. Il file binario fraudolento viene eseguito solo se il controllo locale ha esito positivo.
Inoltre, stabilisce la persistenza utilizzando un LaunchAgent, un metodo precedentemente utilizzato da varie famiglie di malware come RustBucket , XLoader , JaskaGO e una backdoor macOS che condivide somiglianze con ZuRu .
Similmente al malware MacStealer per macOS, Cuckoo utilizza osascript per presentare una richiesta di password falsa, inducendo gli utenti a inserire le password di sistema per l'escalation dei privilegi. Questo malware esegue inoltre la scansione di file specifici collegati a particolari applicazioni nel tentativo di raccogliere informazioni dettagliate sul sistema.
Il Cuckoo Stealer compromette le informazioni sensibili dei dispositivi violati
Il malware Cuckoo è progettato per eseguire una sequenza di comandi volti a estrarre dettagli hardware, acquisire processi attivi, interrogare applicazioni installate, acquisire schermate e raccogliere dati da varie fonti, tra cui portachiavi iCloud, note di Apple, browser Web, portafogli crittografici e specifici applicazioni come Discord, FileZilla, Steam e Telegram.
Ogni applicazione minacciosa include un pacchetto di applicazioni incorporato nella sua directory di risorse. La maggior parte di questi pacchetti, ad eccezione di quelli di fonedog.com, sono firmati e portano un ID sviluppatore valido attribuito a Yian Technology Shenzhen Co., Ltd (VRBJ4VRP). In particolare, fonedog.com ha ospitato uno strumento di ripristino Android insieme ad altre offerte e il suo pacchetto di applicazioni aggiuntivo presenta un ID sviluppatore di FoneDog Technology Limited (CUAU2GTG98).
I dispositivi Mac sono diventati un bersaglio frequente di attacchi malware
I criminali informatici hanno implementato strumenti malware mirati ai dispositivi Mac, un esempio importante è la famiglia di malware AdLoad . Recentemente, i ricercatori di sicurezza informatica hanno lanciato allarmi su una nuova variante di questo famigerato malware chiamato Rload (noto anche come Lador), scritto nel linguaggio di programmazione Go. Rload è progettato per aggirare l'elenco delle firme malware XProtect di Apple ed è compilato appositamente per l'architettura Intel x86_64.
Questi binari agiscono come dropper iniziali per le fasi successive del carico utile. Attualmente, gli esatti metodi di distribuzione rimangono poco chiari. Tuttavia, questi dropper si trovano generalmente incorporati in applicazioni crackate o infettate da trojan distribuite attraverso siti Web dannosi.
AdLoad, una campagna adware che colpisce macOS almeno dal 2017, è nota per dirottare i risultati dei motori di ricerca e inserire annunci pubblicitari nelle pagine Web. Ciò viene ottenuto tramite una configurazione proxy Web man-in-the-middle, che reindirizza il traffico Web dell'utente attraverso l'infrastruttura dell'aggressore per ottenere un guadagno finanziario.
